I. WWW i servere web 


În articolul "As We May Think” din revista The Atlantic Monthly, iulie 1945, 
Vannevar Bush a descris un sistem de grupare asociativa a informatiilor. 

Autorul a numit acest sistem memex (memory extension) si l-a propus ca pe 
un instrument care sa ajute mintea umana sa organizeze informatiile. 

In 1965, Ted Nelson a inventat termenul hipertext, ca sa descrie un text 
care corespunde modelului lui Bush, in sensul ca nu trebuia sa fie secvential. 
Hipertextul, asa cum l-a descris Nelson, leaga documentele astfel incat sa formeze 
o retea de relatii care sporeste posibilitatile de extindere si de intelegere a unui 
text obisnuit prin legarea de alte texte. De asemenea, Nelson a inventat si 
termenul de hipermedia, definind prin acesta hipertextul care nu este limitat 
numai la text simplu. Hipermedia poate include diferite forme de multimedia - 
imagini, grafica, sunete si secvente video. 

Ideile lui Vannevar Bush si ale lui Ted Nelson au fost reluate intr-un proiect 
de la sfarsitul anilor '80, astfel incat in martie 1989, Tim Berners-Lee, un 
cercetator de la Laboratorul European pentru Particule Fizice al Consiliului 
European pentru Cercetare Europeana (CERN) din Geneva, Elvetia, a propus un 
sistem hipertext care sa permita partajarea eficienta a informatiilor intre membrii 
unui grup de cercetatori care studiau fizica energiilor inalte. Propunerea lui 
Berners- Lee, numita "Hypertext and CERN" a circulat pentru comentarii. 
Componentele principale ale propunerii erau: 

- acceasi interfata cu utilizatorul pe toate platformele, care sa permita 
acestuia accesul la informatii de pe diferite tipuri de calculatoare; 

- posibilitatea de acces la diferite tipuri de documente prin intermediul 
acestei interfete; 

- asigurarea "accesului universal", adica un sistem care sa permita oricarui 
utilizator accesul la orice fel de informatii. 

La sfarsitul anului 1990, un prototip al sistemului World Wide Web rula pe 
un calculator NeXT si a fost pusa la punct o interfata in mod linie (numita 
"WWW"). Componentele de baza ale sistemului Web erau gata, desi nu erau inca 
disponibile pentru utilizarea pe scara larga in retea. 

La inceputul anilor '90, interesul pentru sistemul Web a crescut si s-a 
raspandit in intreaga lume. In martie 1991, interfata WWW era folosita intr-o 
retea locala; in luna mai a aceluiasi an era pusa la dispozitia utilizatorilor, pe 
calculatoarele centrale ale CERN. Pe 15 ianuarie 1992, interfata a devenit 
disponibila in mod public pe calculatoarele CERN, iar echipa de la CERN a facut 
demonstratii internationale de folosire a sistemului. 

Interesul pentru sistemul Web a crescut rapid in anul 1993. Un tanar 
student al Universitatii din Illinois, pe nume Marc Andressen, a lucrat la un 
proiect pentru NCSA (National Center for Supercomputing Applications) si a 
condus o echipa care a dezvoltat un navigator (browser) pentru Web, numit 
"Mosaic". Acest program avea o interfata grafica usor de utilizat, alimentand si 
mai mult interesul pentru sistemul Web si pentru informatiile on-line. Au inceput, 
apoi, sa apara versiuni comerciale ale unor navigatoare. 

In 1994, Marc Andressen si cativa colegi au plecat de la NCSA ca sa formeze 


La jumatatea anului 1994, Massachusets Institute of Tehnology (MIT) si 
CERN au anuntat crearea organizatiei World Wide Web Consortium sau "W3C", cu 
adresa: http://www.w3.org/hypertext/www/Consortium . 

Astazi, aceasta organizatie ghideaza dezvoltarea tehnica pentru evolutia 
sistemului Web. W3C este o organizatie formata din universitati si asociatii 
industriale particulare, condusa de Laboratory of Computer Science din cadrul 
MIT si care colaboreaza cu CERN ( http://www.cern.ch/ ) si Institute National de 
Recherche en Informatique et en Automatique (INRIA), un institut francez pentru 
cercetari in domeniul informaticii( http://www.inria.fr/ ). 

La organizatia W3C au aderat noi companii, printre care: AT&T, Digital 
Equipment Corporation, Entreprise Integration Technologies, FIP Software, IBM, 
NCSA, Netscape Communication, Novell, Sun Microsystems. 


Definitie a sistemului Web 


In ciuda cresterii rapide si a dezvoltarii tehnice, sistemul Web din 1995 are 
aceleasi componente functionale ca si varianta din 1990. Popularitatea sistemului 
de afisare a informatiilor din INTERNET a ingreunat intelegerea acestui sistem, 
care 


Clientii 
(navigatoarele Web) au acces la informatiile hipermedia si multiprotocol, aflate pe 
un server Web. 


N 


componente: clientul, server-ul si reteaua. Clientul este o aplicatie care, de cele 


mai multe ori, ruleaza pe calculatorul utilizatorului final. Server-ul este o aplicatie 
care, de obicei, ruleaza pe calculatorul furnizorului de informatii. Programul client 
este adaptat sistemului hardware pe care ruleaza si functioneaza ca o interfata 
intre sistemul respectiv si informatiile furnizate de server. Cererea este 
transportata prin retea, de la client la server. Server-ul analizeaza cererea si 
executa activitatile corespunzatoare. Aceste activitati pot include cautarea intr-o 
baza de date sau actualizarea unor informatii dintr-o baza de date. Rezultatele 
tranzactiilor cerute (daca exista) sunt trimise catre programul client si afisate pe 
ecranul utilizatorului. Toate comunicatiile intre client si server se fac conform 
unui set de reguli sau protocoale definite de sistemul client-server. 


server-e. Informatii mai detailate despre TCP/IP pot fi gasite in pagina de Web a 
WWW Consortium, la adresa:( http://www.w3.org/pub/WWW/Protocols/ ) 

Exista un model de baza pentru autentificare in protocolul HTTP, ce poate fi 
folosit pentru a restrictiona accesul utilizatorilor prin parole. Aceasta metoda insa, 
nu trebuie sa fie folosita pentru a proteja date importante; parolele sunt trimise in 
clar prin retea, aceasta reducand mult din gradul de securitate pe care il ofera, in 
special in retele nesigure cum este INTERNET-ul. 


Securitatea WWW 


Pe langa cele prezentate mai inainte, o alta utilizare a Web-ului cuprinde 
includerea de programe in paginile de Web. 


- de exemplu, un contor ce se incrementeaza de fiecare data cand o 
persoana acceseaza o pagina de Web sau o carte de oaspeti; 

- de exemplu, serviciul de pachete- furnizor FedEx, care permite 
utilizatorilor sa foloseasca server-ul World Wide Web al companiei pentru a copia 
pachete de servicii software(www.fedex.com ). 


Cu toate aceste deosebite posibilitati de utilizare, World Wide Web 
comporta anumite probleme de securitate. In ordinea importantei, acestea pot fi: 

1)Un atacator poate specula bug-urile (deficientele) existente in server-ul de 
Web sau din script-urile CGI pentru a obtine acces neautorizat la alte fisiere din 
sistem sau chiar pentru a obtine controlul total asupra sistemului; 


Fiecare din aceste probleme cere un raspuns. Din nefericire, cateva dintre 
solutiile care au inceput sa fie folosite in mod curent sunt contradictorii. De 
exemplu, pentru a reduce riscurile de "ascultare", multe organizatii achizitioneaza 
server-e World Wide Web sigure, care implementeaza o varietate de protocoale de 
criptare. Dar, aceste server-e cer, pentru a opera, un certificat semnat digital, 
care trebuie actualizat periodic. 


CONSTRUIREA UNUI SERVER WEB SIGUR 


Server-ele Web sunt proiectate sa receptioneze cereri anonime de la sisteme 
gazda neidentificate de pe INTERNET si sa furnizeze informatia intr-o maniera 
eficienta si rapida. Ca atare, ele furnizeaza o poarta de intrare in calculator, care 
poate fi folosita atat de prieteni cat si de dusmani. 

Nici un software nu este fara riscuri. 


Aceasta ofera disponibilitate la inspectare de catre alte organizatii, existand 
posibilitatea ca un vizitator rau-intentionat sa poata inspecta aceste surse in 
scopul gasirii unor vulnerabilitati. 


Aceasta inseamna ca aceste programe trebuie scrise robust, astfel incat sa fie 
capabile sa refuze datele de intrare, atunci cand acestea sunt rau-intentionate sau 
bizare. 

Server-e de uz general, cum ar fi sendmail si finger, au fost scrise in deplina 
cunostinta a acestor pericole. Sursele acestor programe au fost examinate ani de 
zile pe toate partile, in cautarea eventualelor probleme. Chiar si in aceste conditii, 
problemele de securitate sunt un lucru obisnuit la astfel de programe. 

In concluzie, este mai mult decat riscant sa se permita utilizatorilor sa 
creeze programe CGI, fara o evaluare detailata a riscurilor implicate si fara luarea 
masurilor corespunzatoare pentru minimizarea acestor riscuri. 

Posibilitatea de a adauga functii la un server Web prin folosirea script-urilor 
CGI complica foarte mult politica de securitate ce trebuie adoptata. Atata timp cat 
un script CGI poate adauga elemente la un server Web, pot fi introduse si noi 
probleme de securitate. De exemplu, un server Web poate fi configurat astfel incat 
sa poata fi accesate numai fisierele stocate intr-un anume director, dar un 
utilizator poate instala neintentionat un script CGI, care permite intrusilor sa 
citeasca alte fisiere de pe calculator. Mai mult, deoarece multi utilizatori nu au o 
experienta in a scrie programe de securitate, este posibil (si probabil) ca script- 
urile CGI locale, ce pot contine bug-uri, sa permita unui intrus sa execute comenzi 
arbitrare pe sistemul in cauza. 

Platforma suport pentru un server Web sigur 

Toate eforturile de a asigura securitatea script-urilor CGI sunt inutile daca 
server-ul de Web insusi nu este de incredere. Din nefericire, aceasta se intampla 
de multe ori. 

Deoarece are o varietate de utilitare, platforme pentru limbaje de 
programare si permite utilizatori ce se pot conecta de la distanta, 


e asemenea, sistemele de operare 
de pe PC-uri prezinta unele dintre aceste caracteristici, facand ca nici ele sa nu fie 
o alegere dintre cele mai potrivite. 

Experienta a aratat ca, pentru cresterea sigurantei unui server Web, acesta 
trebuie sa ruleze un server de Web fara nimic altceva si sa nu accepte conectarea 
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de la distanta; de ezemplu, un Apple Macintosh ce ruleaza MacHTTP, WebStar sau 
un alt server de Web similar. 

Exista desigur multe avantaje in rularea unui server de Web pe o masina 
UNIX in loc de a-l rula pe un Macintosh. UNIX-ul, in general, ruleaza mai rapid 
decat MacOS pe hardware comparabil si este disponibil pentru platforme 
hardware ce lucreaza mai rapid decat calculatoarele bazate pe PowerPC. Mai mult 
decat atat, pentru organizatii este mai usor, in general, sa integreze server-ele 
bazate pe UNIX cu infrastructura informationala existenta. In final, sunt mai multi 
cei familiarizati cu server-erele UNIX decat cu cele ce ruleaza MacOS. Totusi, se 
sugereaza ca un administrator sa ia in seama modul de abordare a Web-urilor 
Mac. 

Pentru a construi un server Web sigur pe o platforma oarecare, trebuie sa se 
aiba in vedere cateva lucruri: 

- Utilizatorii din retea nu trebuie sa poata executa pe server programe 
arbitrare sau comenzi Shell; 

- Script-urile CGI care ruleaza pe server trebuie sa realizeze functia 
solicitata sau sa returneze un mesaj de eroare. Script-urile trebuie sa se astepte la 
atacuri si sa poata stapani orice incercare de intrare rau intentionata; 

- In eventualitatea ca server-ul a fost compromis, un intrus rau intentionat 
nu trebuie sa fie capabil sa foloseasca aceasta pentru un nou atac asupra 
organizatiei. 

UID-ul server- ului 

Cele mai multe server-e Web sunt proiectate sa porneasca in modul 
superuser. Server-ul are nevoie sa fie lansat ca root, astfel incat sa poata "asculta" 
cererile pe port-ul 80 (port-ul standard pentru HTTP). 

Indata ce server-ul a pornit, el isi schimba UID-ul la cel al utilizatorului care 
este specificat in fisierul de configurare. In cazul server-ului de la NCSA i în 
Apache, acest fisier de configurare se numeste conf/httpd.conf. In fisier sunt 3 
linii: 


User/Group: The name (or #number) of the user/group to run httpd as 
User http 
Group http 


Acest nume utilizator (username) poate sa nu fie root. In schimb, directivele 
user si group din fisierul de configurare pot specifica un utilizator care nu are 
acces special pe server. In exemplul de mai sus, utilizatorul si-a schimbat UID-ul la 
user http, inaintea accesarii fisierelor sau a rularii script-ului CGI. Daca exista un 
script CGI care ruleaza ca superuser (si trebuie analizat bine acest lucru), acesta 
trebuie sa fie SUID root. 

Nu trebuie sa se ruleze server-ul Web ca root! Cu toate ca server-ul 
porneste initial ca root, fisierul httpd.conf nu trebuie sa contina directiva "User 
root". Daca aceasta exista, fiecare script de pe server-ul Web se va executa ca 
superuser, putand apare probleme. 

Structura de directoare a server- ului 

Server-ele de Web sunt produse software complicate. Ele folosesc multe 
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fisiere din mai multe directoare. Continutul unor directoare poate fi disponibil in 
retea, al altora nu. In plus, pentru siguranta, continutul anumitor directoare 
trebuie sa nu poata fi citit de utilizatorii sistemului. 

Pentru a rula un server sigur trebuie sa se inteleaga scopul fiecarui director 


si ce masuri de protectie ii sunt necesare. D 


Multe surse recomanda sa se creeze un utilizator numit www si un grup 
numit www pentru a fi utilizate de administrator la gestionarea server-ului Web: 


drwxr-xr-x5 www www 1024 Aug 8 00:01 cgi-bin/ 
drwxr-x----2 www www 1024 Jun 11 17:21 cont/ 


-TWYK-------- 1 www www 109674 May 8 23:58 httpd/ 
drwxrwxr-x www www 1024 Aug 8 00:01 htdocs/ 
dwz- ------- 2 www www 1024 Jun 3 21:15 icons/ 


drwxr-x---2 www www 1024 May 4 22:23 logs/ 


Aceasta este o abordare interesanta, dar ea nu intareste prea mult politica 
de securitate. Deoarece programul httpd ruleaza ca root, oricine poate modifica 
acest program are posibilitatea sa devina superuser. Aceasta este o vulnerabilitate 
deosebita, daca fisierele server-ului sau cele de configurare sunt dispuse pe 
partitia NFS-export. Pentru aceasta se recomanda sa se seteze directorul server- 
ului de Web cu proprietatea root. 


drwxr-xr-x8 root www 1024 Nov 8 00:01 cgi-bin/ 


drwx- ------- 2 root www 1024 Nov 11 17:21 conf/ 
drwxr-xr-x2 root www 1024 Dec 8 00:01 htdocs/ 
-T'WX- ------- 1 root www 482168 Aug 8 23:58 httpd/ 


drwxrwr-x2 root www 1024 Dec 3 21:15 icons/ 
drwx- ------ 2 root www 1024 Nov 4 22:23 logs/ 
drwxr-xr-x2 root www 1024 Aug 8 00:01 support 


De retinut ca directorul cgi-bin are modul de acces 711; aceasta permite 
server-ului httpd sa ruleze programele pe care le contine, dar nu permite unei 
persoane de pe server sa vizualizeze continutul directorului. 

Scrierea script- urilor si programelor CGI sigure 

Scrierea unui script CGI sigur prezinta toata seria de probleme ce apar la 
scrierea unui program SUID sigur, a unui server de retea sigur, plus multe altele. 
Acestea, deoarece pot apare interactiuni neasteptate intre mediul Web, server-ul 
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de Web si script-urile CGI, aparand probleme in combinatia lor, care nu se 
manifesta cand acestea sunt luate separat. Cele mai multe dintre "hibele" de 
securitate nu sunt intentionate. Dintre toate script-urile scrise pe server-ul de Web 
exista sansa ca cel putin unul sa aiba o deficienta serioasa de securitate. Din acest 
motiv, nu trebuie sa se permita utilizatorilor sa plaseze script-uri pe server, pana 
cand o persoana autorizata in securitate nu le-a citit si a verificat siguranta lor. 

Nu trebuie sa se aiba incredere deplina in navigatoarele utilizatorilor! In 
HTML exista posibilitatea de a afisa liste de selectie, de a limita lungimea 
campurilor la un anumit numar de caractere, de a incapsula date ascunse in 
formulare (forms) si de a specifica variabilele ce vor fi furnizate script-urilor CGI. 
Cu toate acestea, nu se poate face ca script-ul CGI sa depinda de nici una din 
aceste restrictii, deoarece unele script-uri CGI pot fi lansate direct prin cererea 
URL-ului lor; intrusii nu au nevoie (si nici nu doresc) sa foloseasca formularul 
impus sau interfata ce li se furnizeaza. 


Trebuie sa se acorde atentie, in special, urmatoarelor aspecte: 


- Daca se creeaza o lista de selectie, valoarea care este returnata pentru 
campul de intrare poate sa nu se potriveasca valorii permise care a fost definita; 

- Daca s-a specificat o lungime maxima pentru o variabila, lungimea 
variabilei care este furnizata script-ului poate fi semnificativ mai lunga; 

- Variabilele care au fost furnizate script-ului pot avea nume ce nu sunt 
definite in script; 

- Utilizatorii pot vedea date ce au fost marcate ca fiind ascunse (hidden); 

- Valorile pentru variabilele ce sunt furnizate pot contine caractere speciale. 
Atacatorii sunt, prin definitie, rau-intentionati si nu respecta niciodata regulile. De 
aceea, nu trebuie sa se aiba incredere in tot ceea ce este furnizat prin retea. Nu 
este de ajuns sa se testeze un script CGI! Una din cauzele pentru care este foarte 
usor de creat un script nesigur se datoreaza faptului ca este foarte dificil sa se 
testeze  script-urile cu toate variantele de clienti HTTP existente. Sunt multe 
programe CGI care nu realizeaza un control al caracterelor si nu protejeaza 
impotriva posibilitatii existentei caracterelor speciale (cum ar fi "escape" sau "'", 
care sunt interpretate in mod special de Shell-ul UNIX). Aceste caractere pot 
apare in sirul de caractere de intrare datorita unor deficiente ale navigatorului 
Web sau, foarte probabil, pentru ca un intrus rau-intentionat incearca sa 
submineze script-ul CGI si sa preia controlul asupra server-ului; 

- O problema deosebit de importanta este aceea ca trebuie inspectate toate 
valorile care sunt furnizate programului. Pentru toate valorile furnizate trebuie 
verificata existenta caracterelor speciale si lungimea maxima pentru variabilele 
specificate. Prin "toate valorile” se intelege: continutul variabilelor de mediu, 
adresele si numele sistemelor gazda, URL-uri, date furnizate de utilizator, valori 
alese din liste de selectie si date ce au fost inserate de script printr-un formular 
WWW. 

- Trebuie avuta o grija deosebita in utilizarea apelurilor system(), popen(), a 
conductelor (pipe), apostrofului invers si a functiei Perl eval(). 


Multe limbaje de programare furnizeaza metode de a crea subprocese. 
Trebuie evitata aceasta facilitate in scrierea script-urilor CGI. Daca trebuie 
neaparat sa se creeze un subproces si la acesta se vor trimite siruri de caractere 
furnizate de utilizator, aceste siruri nu trebuie sa contina metacaracterele Shell 
(de exemplu, caracterele '$|;> *< &). 

Transmiterea postei 

Daca se scrie un script CGI care sa permita utilizatorilor sa transmita posta 
electronica, este indicata folosirea programului  /usr/lib/sendmail pentru a 
transmite posta si nu a programelor /bin/mailx sau /usr/ucb/mail. Aceasta, 
deoarece  /usr/lib/sendmail nu are secvente escape (ce permit executia unor 
comenzi Shell), cum au celelalte. 

Exista multe comenzi Perl care permit rularea de comenzi Shell, posibil fara 
ca utilizatorul sa aiba cunostinta de aceasta. 


Este ocolit Shell-ul prin folosirea functiei 
exec() cu un sir fix, ce ruleaza direct /usr/lib/sendmail: 


Se recomanda aceasta configuratie, 
pentru ca se face mai usor cautarea si examinarea tuturor script-urilor CGI de pe 
sistem. 


In schimb, se recomanda: 


(de obicei, directorul se numeste cgi-bin); 


Adeseori, raman asemenea 
fisiere, cu nume ca start= sau creat-acount=. Aceste fisiere backup pot fi 


(te) 


executate de un intrus, cu rezultate nedorite. 


trebuie ca site-ul sa pastreze confidentiale programele si script-urile CGi. Aceasta 


nu garanteaza, totusi, securitatea pentru script-urile cu bug-uri (greseli): un intrus 
rau intentionat care sondeaza cu perseverenta, gaseste deficientele sistemului. 
Cateodata, munca implicata pentru aceasta spargere este semnificativa. Daca un 
intrus oarecare, dupa incercari repetate, renunta orientandu- se catre alte sisteme, 
cel perseverent o va lua de la capat. 

Pentru a proteja informatiile de interceptare, acestea trebuie criptate la 
transmiterea intre client si server. Se cripteaza mai intai informatiile din 
formulare inainte de a fi transmise server-ului. De asemenea, server-ul raspunde 
tot cu informatii criptate. 

Trebuie impiedicata citirea continutului script-ului CGI de catre utilizatorii 


10 


de retea. Acestea previne analiza script-urilor in vederea descoperirii deficientelor 
de securitate. 

Combinarea HTTP cu FTP 

O atentie deosebita trebuie acordata folosirii HTTP in combinatie cu FTP. 
Multe site-uri folosesc acelasi director pentru a stoca documentele ce sunt 
accesate prin anonymous FIP si WWW. 


- daca un intrus poate prelua script-urile de pe server-ul cu FIP-ul 
(download), el le poate inspecta in vederea gasirii unei cai de atac. Deci, trebuie 
sa se asigure ca nu exista nici o posibilitate de incarcare a unui script de catre un 
utilizator FIP; 

- fisierul /etc/passwd prezent pentru serviciul de FTP poate fi vizibil cuiva 
care foloseste serviciul WWW, ceea ce conduce la compromiterea continutului sau. 
Daca au fost incluse cateva parole reale in acest fisier, ele devin disponibile 
pentru clienti, putandu-se sparge parolele de la distanta. 


CONTROLUL ACCESULUI LA FISIERELE DE PE SERVER 


Multe site-uri sunt interesate in limitarea domeniului de informatii care le 
distribuie  server-ele lor. Aceasta deoarece un server Web este utilizat intr-o 
organizatie pentru a distribui atat date interne, cat si date externe. 


Server-ele care sunt echipate cu software-ul necesar pentru criptografia cu 
chei publice au si oa treia tehnica de restrictionare a accesului: 


3)Restrictionarea accesului doar la acei utilizatori care prezinta chei publice 
semnate de o autoritate de certificare. 


Fisierele acces.conf si .htaccess 


Server-ul NCSA i Apache permite plasarea tuturor restrictiilor de acces 
global intr-un singur fisier numit conf/acces.conf. Ca alternativa, se pot plasa 
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restrictiile in fiecare director, folosind numele specificat de AccessFileName in 
fisierul de configuratie conf/srm.conf. Pentru fiecare director, numele implicit al 
fisierului cu restrictii de acces este .htaccess, dar se poate schimba acest nume 
dupa dorinta. 

Depinde de cel ce face configurarea daca s-a ales folosirea mai multor 
fisiere de acces sau a unui singur fisier. Desigur ca este mai convenabil sa existe 
cate un fisier in fiecare director de pe server-ul Web. De asemenea, este mai facila 
mutarea de directoare pe server-ul de Web, deoarece nu mai este necesara 
actualizarea fisierului principal de control al accesului. Mai mult, nu mai este 
necesara reinitializarea server-ului ori de cate ori s-a facut o schimbare in lista de 
control al accesului - server-ul va observa ca este un nou fisier .htacces si va 
actiona in consecinta. 

Pe de alta parte, avand un fisier de acces in fiecare director inseamna ca 
exista mai multe fisiere de verificat pentru a vedea daca directoarele sunt 
protejate sau nu. Exista, de asemenea, o deficienta la unele server-e ce permite 
preluarea fisierelor de acces. 

Mai jos este prezentat continutul fisierului access.conf. Accesul in fiecare 
director este cuprins intre doua tag-uri, Directory directoryname si Directory. 


"Directory /nsa/manual" 
"Limit GET" 

order deny,allow 

deny from all 

allow from.nsa.mail 
"Limit" 

"/Directory" 


Daca se foloseste controlul accesului per-director, nu se introduc aceste tag- 
uri. De exemplu: 


"Limit GET" 

order deny,allow 
deny from all 
allow from.nsa.mil 
"Limit" 


Exista o deficienta in multe server-e Web (printre care si cel de la NCSA) 
care permite ca fisierul .htaccess sa poata fi adus ca URL. Aceasta nu este bine, 
deoarece un intrus poate invata detaliile sistemului de autentificare. Din aceasta 
cauza, daca se folosesc fisiere de control per-director, este recomandat sa li se dea 
un nume diferit de „htacces, prin specificarea acestui nume diferit in 
AccesFileName din fisierul srm.conf, ca mai jos: 


# AccesFileName : The name of the file to look for in each directory 
+ for acces control information 
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AccesFileName.ap 
Comenzi in interiorul blocului "Directory" 


Asa cum s-a ilustrat si in exemplele de mai sus, anumite comenzi sunt 
disponibile in cadrul blocului "Directory". Cel 


AllowOverride ce anume 


Specifica directivele care pot fi suprascrise cu fisiere de acces la nivel de 
director. 


Acest fisier de grup este un fisier 
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text normal, neavand formatul fisierului UNIX /etc/group. In schimb, fiecare linie 
incepe cu un nume de grup si contine lista membrilor (separati printr-un spatiu). 
De exemplu: 

grup 1 : Ion Ana Vasile 


Limit metode_ce_trebuie_ limitate 


Specifica inceputul unei sectiuni care listeaza  limitarile in director. 
Sectiunea Limit poate avea urmatoarele directive: 


m 


LO 


Fisierul de parole este similar, dar nu identic cu fisierul standard / 
etc/passwd: 


# cat /usr/local/etc/httpd/pw/auth 
ion:ZdZ2f8 MOeVcNY 
vasile : ukJTIFYWHKwta 


Deoarece server-ul Web foloseste functia crypt(), este important ca fisierul 
de parole sa fie inaccesibil utilizatorilor obisnuiti de pe server, pentru a se evita 
un atac prin incercari de parole, folosind un program de tip Crack. 


EVITAREA INTERCEPTARII 


Riscul interceptarii afecteaza toate protocoalele INTERNET si, in special, 
World Wide Web, unde pot fi transmise documente importante sau alte elemente 
de informatie (cum ar fi numere de carti de credit). Exista doar doua cai de 
protectie impotriva interceptarii. Prima este sa se asigure faptul ca informatia 
circula printr-o retea fizic sigura (ceea ce INTERNET-ul nu este). A doua este 
criptarea informatiei astfel incat ea sa poata fi decriptata numai de receptorul 
dorit. 

O alta forma de ascultare posibila este analiza traficului. In acest caz, un 
intrus observa tranzactiile realizate la/de la o destinatie fara sa-l intereseze 
continutul. Fisierele de login de pe server-ele Web sunt deosebit de vulnerabile la 
astfel de atacuri. 


Interceptarea canalului fizic 


Informatiile transmise pe INTERNET trebuie sa fie criptate pentru a fi 
protejate la interceptare. Exista patru modalitati in care pot fi criptate 
informatiile: 


I)Criptarea legaturii (Link encryption). Pentru a se asigura 
confidentialitatea pe liniile telefonice, se cripteaza pachetele IP. Organizatiile pot 
folosi, de asemenea, ruterele pentru a cripta automat informatiile ce se transmit 
pe INTERNET si sunt destinate altor site-uri. Criptarea legaturii ofera 
confidentialitate intregului trafic, dar aceasta poate fi realizata numai cu un 
aranjament preliminar. Criptarea legaturii era in general foarte scumpa, dar noua 
generatie de rutere si firewall-uri au inceput sa introduca aceasta facilitate din 
fabricatie. 


2)Criptarea documentelor (Document encryption). Documentele plasate pe 
server-ul Web pot fi criptate cu un sistem ca PGP-ul. Cu toate ca aceasta metoda 
ofera protectie buna, ea este greoaie deoarece cere ca documentele sa fie criptate 
anterior plasarii lor pe server si decriptate cand sunt receptionate. 
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3)SSL (Secure Socket Layer). SSL este un sistem proiectat de Netscape 
Communications care ofera o cale TCP/IP criptata intre doua host-uri de pe 
INTERNET. SSL poate fi folosit pentru criptarea oricarui protocol TCP/IP, cum ar 
fi HTTP, TELNET sau FIP. SSL poate folosi o varietate de sisteme bazate pe chei 
publice, pentru a schimba cheia de sesiune. O data o cheie de sesiune obtinuta, se 
pot folosi o varietate de algoritmi cu cheie secreta. 


4)SHTTP (Secure HTTP. Secure HTTP este un sistem de criptare pentru 
HTTP proiectat de Commerce Net. SHTTP lucreaza numai cu HTTP. 


Majoritatea  server-elor Web comerciale cauta sa foloseasca facilitatile 
oferite de SSL si SHTTP. Atat SSL cat si SHTTP necesita un software special 
pentru a fi rulate, software ce trebuie sa existe atat pe server-ul de Web, cat si pe 
navigatorul Web. 


Cand se foloseste un protocol criptat, securitatea datelor depinde de cateva 
probleme: 

- puterea algoritmului de criptare; 

- lungimea cheii de criptare; 

- secretul cheii de criptare; 

- puterea software- ului de baza care ruleaza pe server-ul Web; 

- puterea software-ului de baza care ruleaza pe server-ul client. 


Interceptarea prin intermediul fisierelor de login 


Majoritatea server-elor, atunci cand servesc o cerere client, creeaza fisiere 
de login, ce contin o cantitate considerabila de informatii despre fiecare cerere. 
Aceste fisiere cresc fara limita pana cand sunt curatate automat sau pana cand 
umplu HDD-ul (provocand disfunctionalitati in serviciile oferite de catre server). 

De exemplu, server-ul httpd al NCSA(Apache) intretine urmatoarele fisiere 
de login in directorul logs/: 

acces_log - contine o lista a accesului individual la server; 

agent_log - contine o lista a programelor care au fost folosite pentru accesul 
la server; 

error_log - lista a erorilor pe care server-ul le-a inregistrat, indiferent daca 
au fost generate de server sau de script-urile CGI (ori de cate ori un script scrie la 
iesirea standard pentru erori, eroarea este inregistrata in acest fisier); 

refer log - acest fisier contine intrari ce includ URL-ul pe care navigatorul l- 
a vizitat si URL-ul curent ce se vizualizeaza. 


Examinand informatia din aceste fisiere, se poate crea o imagine sintetica - 
a celor care au acces pe server-ul Web - a informatiei care a fost vizualizata si a 


site-urilor vizitate anterior. 


In continuare, sunt descrise campurile care sunt stocate in fisierul 
acces log: 
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- numele calculatorului de la distanta care a initiat transferul; 

- numele de login de la distanta, daca a fost furnizat, sau "-" daca nu; 

- numele utilizatorului de la distanta, daca a fost furnizat, sau "-" daca nu; 

- momentul cand transferul a fost initiat; 

- comanda HTTP care a fost executata (poate fi GET pentru fisiere 
receptionate, POST pentru procesarea formelor sau HEAD pentru vizualizarea 
header- ului MIME); 

- starea codului care a fost returnat; 

- numarul de octeti care au fost transferati. 


Un atac asupra server-ului de Web poate duce la compromiterea acestui 
fisier. Obtinerea informatiilor continute in acest fisier de catre un tert poate 
compromite modul confidential de legatura intre server si client. 


II. Cateva cuvinte despre Linux 


Linux a fost creat in anul 1991 de catre Linus Torwalds ca un proiect personal. 
El a incercat sa creeze un sistem de operare UNIX care sa nu coste. In cadrul 
Universitatii din Helsinki exista un sistem de operare numit MINIX, dar acesta nu 
rula pe noile calculatoare numite PC, iar Linus detinea un calculator 386 si el si-a 
dorit un sistem compatibil cu UNIX care sa ruleze pe acest calculator. El a inceput 
scrierea codului pentru actualul sistem Linux. Linus a inceput sa pune intrebari sa 
caute raspunsuri care sa il ajute sa puna UNIX pe propriul sau calculator. Primele 
sale intrebari sau adresat grupului de discutii comp.os.minix dupa cum se poate 
vedea mai jos : 


From: torvalds Oklaava.Helsinki.FI (Linus Benedict Torvalds) 
Newsgroups: comp.os.minix 

Subject: Gcc- 1.40 and a posix-question 

Message- ID: <1991Jul3.100050.9886 Eklaava.Helsinki.FI> 

Date: 3 Jul 91 10:00:50 GMT 

Hello netlanders, 

Due to a project I'm working on (in minix), I'm interested in the posix 
standard definition. Could somebody please point me to a (preferably) 
machine-readable format of the latest posix rules? Ftp-sites would be 
nice. 


De la inceput scopul lui Linus a fost sa aiba un sistem compatibil cu UNIX, de 
aceea el a pus intrebari despre standardul POSIX, acesta fiind si standardul 
pentru UNIX. In anul 1991 a aparut prima versiune numita 0.2, Linus lucrad pana 
in 1994 cand a publicat versiunea 1.0 a kernelului, acesta fiind nucleul sistemului 
de operare cunoscut astazi sub numele de Linux. 
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III. Nucleul sistemului 


Nucleul sistemului Linux, numit si kernel a ajuns astazi la versiunea 2.6.9. 
Proiectat ca un sistem de operare care sa nu coste, Linux este distrbuit sub GNU 
General Public License, iar codul sursa al nucleului poate fi descarcat gratis de pe 
Internet de la adresa http://www.kernel.org. La inceputurile sale nucleul Linux 
avea suport pentru putine dispozitive hardware, dupa 2 ani de la prima sa 
versiune existau deja 12000 de persoane care foloseau Linux. In momentul in care 
o noua piesa hardware aparea pe piata utilizatorii creau drivere pentru aceasta 
piesa, pe care dupa ce il testeau pe propriul lor Linux de acasa, dupa care il 
includeau in versiunea originala a nucleului. Aceste persoane erau numite "nerds" 
si "freaks", care tradus in romaneste inseamna ciudat, dar pentru ei acest lucru nu 
conta, atata timp cat lista cu piese hardware suportate crestea. Datorita acestor 
persoane Linux-ul a ajuns astazi ceea ce este. Nucleul a ajuns in ziua de astazi sa 
aiba suport pentru RAID si plug-and-play fiind folosit atat pentru calculatoare 
personale cat si pentru servere. 

In ziua de azi principalele firme care comercianlizeaza produse hardware si 
software au propia lor echipa programatori Linux iar de la comercianti locali 
puteti cumpara versiuni de Linux care ofera suport oficial. 


Distributii 

Dupa cum am spus mai sus, astazi Linux-ul poate fi descarcat gratis de pe 
Internet sau poate fi cumparat pentru un pret mult mai mic decat alte sisteme de 
operare comerciale. Exista firme care si-au creat si comercializat propria lor 
varianta de Linux. Aceste variante sunt numite distributii. Vom enumera mai jos 
principalele distributii cat si pagina unde puteti gasi informatii despre distributia 
respectiva : 
Slackware Linux 
http://w ww.slackware.com 


Debian Linux 
http://www.debian.org 


RedHat Linux 
http://www.redhat.com 


SuSE Linux 
http://www.suse.com 


UnitedLinux 


http://www.unitedlinux.com 


Slackware Linux? 
Slackware Linux a fost prima distributie care a fost folosita in masa. Proiectul 
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Slackware Linux a fost pornit de Patrick Volkerding la sfarsitul anului 1992. 
Patrick a optat pentru Linux cand a avut nevoie de un interpretor de LISP pentru 
un proiect personal. In acea vreme existau putine distributii, Patrick a ales o 
distributie creata de firma Soft Landing Systems (SLS Linux). Aceasta distributie a 
avut unele probleme, iar Patrick a inceput sa coreteze mici bug-uri pe masura ce 
le gasea. El a hotarat sa uneasca toate aceste corectari intr-o distributie proprie 
pentru el si prietenii sai. Aceasta distributie privata a inceput sa devina 
cunoscuta, iar Patrick s-a decis sa o comercializeze publicului sub numele de 
Slackware. 

Cu timpul Patrick a adaugat distrbutiei un program care sa ajute utilizatorii sa 
instaleze pachetele pe propriul lor calculator, cat si un program pentru 
managementul pachetelor instalate, permitand astfel utilizatorilor sa isi stearga, 
instaleze sau upgradeze pachetele intr-un mod foarte rapid si simplu. 

De ce am ales Slackware Linux? Se pot da multe raspunsuri la aceasta 
intreabare. Noi vom enumera doar cele mai importante dintre ele: 


Este cea mai apropiata distributie de UNIX. In jargon este "UNIX-like”. 

Slackware este mai simplu de folosit decat alte Linux-uri, toate configurarile fiind 
cu ajutor unui editor de text, fie el vi, emacs sau pico. 

Slackware este un Linux stabil, fiabil si poate fi folosit atat pentru acasa cat si 
pentru servere. 

Daca stiti Slackware, stiti si RedHat sau SuSE, pe cand daca invatati RedHat nu 
veti stii si Slackware. 

Sursele nucleului sunt cele originale de la http://www.kernel.org. 

Slackware ofera "nici mai mult, nici mai putin decat ai nevoie”. 


Locatii pe Web de unde poate fi descarcat Slackware 
Principala pagina este : http://wwww.slackware.com 


Alte locatii : 


http://www.linuxiso.org 
http://ww w.linuxmafia.org 
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planul doi, intaietate avand cresterea productiei si a bugetului. Doar in cazul unui 
access neautorizat se pune problema securitatii retelei. Expertii in securitatea 
informationala sustin ca orice calculator conectat la Internet reprezinta o tinta 
pentru persoane rau voitore, care detin si ele acces la Internet. 


Un mic istoric al termenului "Computer Security” 

Termenul "Computer Security", care in romaneste inseamna "Securitatea 
Calculatoarelor", are o arie extinsa de folosire. In viata de zi cu zi au aparut 
termeni cum ar fi cifra de afaceri sau calitatea produsului. Exact asa in firme IT, 
exista termeni cum ar fi integritatea datelor sau accesibilitate buna, un exemplu 
bun ar fi o firma care se ocupa cu comertul pe Internet, succesul acestei firme 
despinde de securitatea datelor sale. 

Multe persoane considera filmul 'WarGames", in care actorul Matthew 
Broderick joaca rolul unui student care intra in supercomputerul Departamentului 
de Aparare al Statelor Unite ale Americii cauzand un razboi nuclear, a instigat 
multe persoane si grupuri sa foloseasca metode care actorul le-a folosit in filmul 
sau pentru a obtine acces neautorizat in retele sau calculatoare. 

In anul 1993, dupa un proces care a durat 4 ani, Kevin Mitnick a fost arestat si 
acuzat ca a obtinut acces neautorizat in peste 25 de calculatoare, cauzand pagube 
de peste 80 de milioane de dolari unor firme ca Nokia, NEC, Sun Microsystems, 
Novell, Fujitsu, si Motorola. FBI a considerat acest act ca fiind cea mai grava 
crima din lumea calculatoarelor. 

In februarie 2000, un atac de tipul "Denial of Service” (DoS), a cauzat 
nefunctionarea celor mai importante pagini pe Internet cum ar fi 
fbi.gov,yahoo.com, cnn.com, amazon.com si multe alte site-uri. Acest lucru a fost 
realizat prin trimiterea in acelasi timp a unui numar mare de pachete ICMP. Multi 
au dat vina pe modalitatea cum un router lucreaza, el acceptand toate datele care 
vin spre el, indiferent daca pachetele au un scop bun sau rau. 

In ziua de azi, cand peste 400 milioane de oameni au acces la Internet, 
securitatea calculatoarelor are un rol important, cateva exemple dovedesc acest 
lucru : 

Intr-o singura zi CERT (Coordination Center at Carnegie Mellon University - 
http://www.cert.org sustine ca sunt 142 de accesari neautorizate. 

In anul 2001, incidentele raportate de CERT a crescut de la 21756 in 2000, 
la 52658. 

Motorul de cautare Google, gaseste peste 2.400.000 de pagini continand 
termenul hackers (sursa http://www.google.com). 

Impactul economic al celor mai trei importanti virusi al ultimilor 2 ani a fost 
estimat la peste 13.2 milioane de dolari (sursa 
http://www.computereconomics.com ). 


Cateva cuvinte despre potentialii atacatori 

Pentru a implementa o buna strategie de securitatea, aveti nevoie sa stiti cine 
sunt si ce ii motiveaza pe potentialii atacatori. In aceasta pagina vom detalia 
termeni ca hacker sau cracker. 
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Termenul hacker isi are originile in anul 1960, unde in cadrul clubului 
"Massachusetts Institute of Technology (MIT) Tech Model Railroad Club" cuvantul 
hacker era folosit pentru a numi un membru al grupului care a gasit o modalitate 
inteligenta sau o solutie pentru o problema. Dupa acea perioda termenul hacker 
este folosit pentru a numi o persoana pasionata de calculatoare sau un 
programator bun. Programatorii Open Source Software considera unii colegi 
hackeri si folosesc acest cuvant pentru a-si exprima respectul fata de ei. 

Presa foloseste termenul hacker pentru a defini pe cineva care a comis o crima 
in domeniul calculatoarelor. Termenul cel mai potrivit pentru a numi o persoana 
care comite o crima informationala ar fi cracker, care a fost creat de hackeri in 
anul 1960 pentru a diferentia doua comunitati diferite. 

O lista cu diferitele tipuri de hackeri ar putea fi urmatoarea 


"white hat hacker” - este o persoana care testeaza securitatea unei retele sau 
sisteme pentru a determina cat de vulnerabile sunt unui atac. Cercetatorii 
academici sau consultantii in domeniul securitatii pot fi numiti "white hat 
hackers”. 

"grey hat hacker" - este o persoana care are cunostintele necesare despre 
securitate, dar care ocazional si le foloseste in scopuri rele. Ei mai sunt numiti si " 
white hat hacker who wears a black hat" pentru a-si respecta agenda lor. 

"black hat hacker" - sinonim cu cracker. Ei deobicei nu au cunostinte despre 
programare, ci doar folosesc modalitati cunoscute pentru a accesa sisteme in mod 
neautorizat. 


Tipuri de securitate 
Securitate unui calculator poate fi clasificata in felul urmator 


Securitatea fizica - in cazul in care un potential atacator are acces fizic la 
calculatorul respectiv. Aceasta parte a securitatii poate fi realizata in urmatoarele 
moduri : 


Camere video pentru supraveghere 

Senzori de miscare sau sisteme de alarma 

Personal de paza 

Usi blindate 

Carcase cu cheie pentru servere 

Securitate locala - este cazul in care anumite persoane au access autorizat in 
calculatorul respectiv. 

Securitate la distanta - numita si "remote", este cea ma importanta si apare in 
momentul in care calculatorul este conectat intr-o retea (WAN - Wide Area 
Network) sau la internet. 


V. Configurarea sistemului Slackware Linux 9.0 


In instalarea sa standard, Sistemul Slackware Linux 9.0, are un nivel de 
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securitare relativ bun. In cele ce urmeaza vom explica mai detaliat si aprofundat 
alte modalitati de evitare a problemelor de securitate. 


â 


Deconectarea sistemului de la retea 
Nu este recomandat sa faceti schimbarile daca serverul dumneavoastra este 


conectat la Internet sau la retea, 


sau 
[root localhost /]% ifdown ethO 
[root & localhost /]% echo "0" > /proc/sys/net/ipv4/forward 


Politica de securitate 

Este important sa precizam ca nu puteti sa implementati o securitate buna 
daca nu creati o politica de securitate, prin acest lucru vrem sa spunem ca trebuie 
sa stiti ce trebuie protejat si de cine trebuie protejat. Urmatoarele randuri va vor 
da o idee generala cam ce ar trebui sa stiti inainte de a implementa o securitate 
buna : 


Cum clasificati datele importante si confidentiale? 
Contine sistemul dumneavoastra date importante si confidentiale? 
Mai exact de cine doriti sa protejati aceste date? 
Doriti sa dati acces utilizatorilor de la distanta? 
Ofera parolele si criptarea o protectie buna? 
Aveti nevoie de acces la Internet? 
Cat acces doriti sa dati persoanelor din Internet la calculatorul dumneavoastra? 
Ce masuri luati daca descoperiti o greseala in securitatea sistemului? 
Lista este scurta. Dar acest lucru depinde de gradul dumneavoastra de 
paranoia si de cat de multa incredere aveti in oamenii din interiorul organizatiei 
cat si in cei din exterior. 
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parola trebuie sa aiba minimum 6 caractere, si sa includa cel putin un caracter 
special sau o cifra 
parola nu trebuie sa fie usor de ghicit, sa nu se bazeze pe numele utilizatorului, 
familie sau alte caracteristici 
trebuie specificata o perioada de timp dupa care parola trebuie schimbata 
utilizatorii care au incercat de mai multe ori sa se logheze pe un sistem si nu au 
reusit ar trebui stersi sau cel putin modificata parola lor 
se poate face o testare a parolei alese cu ajutorul unui utilitar numit John The 
Ripper, care poate fi descarcat de la urmatoarea adresa 
http://www.openwall.com/john/dl/john- 1.6.tar.gz 

In general un administrator care se logheaza ca root lasa logat pentru o 
perioada mai lunga de timp, chiar daca nu are de lucru pe server, lasand astfel 
terminalul lui la indemana oricarei persoane rau voitoare sau doar curioasa. Acest 
lucru poate fi evitat prin setarea unei variabilie din Linux numita TMOUT. Pentru 
a realiza acest lucru urmati urmatoarele instructiuni : 


Editati fisierul /etc/profile (vi /etc/profile), iar undeva dupa linia care contine 
"HISTSIZE=" introduceti : 
TMOUT=7200 

Trebuie precizat ca dupa setarea variabilei TMOUT utilizatorul root cat si 
ceilalti utilizatori vor face automat logout dupa o perioada de 2 ore in care nu au 
introdus nimic de la tastatura. O data ce aceasta modifcare a fost facuta este 
nevoie sa va relogati ca root pentru ca schimbarea sa aiba efect. 


Fisierul /etc/exports 

Daca doriti ca alte calculatoare din reteaua dumneavoastra sa aiba acces la 
unele directoare de pe serverul Linux folosind serviciul NFS (Network File 
Sharing) trebuie sa va asigurati ca fisierul /etc/exports este configurat in cel mai 
restrictiv mod posibil. Folosirea serviciului NFS implica si folosirea programului 
Portmap, deci securizarea acestui serviciu. Pentru o securitate buna a serviciului 
Portmap ar trebui sa luati urmatoarele masuri : 


folositi serviciul Portmap impreuna cu programul TCP Wrappers, pentru a putea 
configura ce retele sau calculatoare sa aiba acces la Portmap, deoarece serviciul 
Pormap nu are implementata nici o modalitate de autentificare. Este recomandata 
folosirea adreselor IP cand se limiteaza accesul la acest serviciu, deoarece 
folosirea adreselor hostname pot fi ocolite prin "spoofarea” lor. 

o idee buna ar fi ca firewall-ul serverului sa contina urmatoarele linii, pentru a da 
acces la serviciul Portmap doar calculatoarelor din retea : 

iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP 

iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP 


Doar dupa ce ati luat aceste masuri, puteti trece la configurarea fisierului / 
etc/exports: 


editati fisierul /etc/exports (vi /etc/exports) si adaugati : 

Exemplu : 

/director/pentru/sharuire hostl.domeniulmeu.com (ro,root_squash) 
/director/pentru/sharuire host2.domeniulmeu.com (ro,root_squash) 


Unde /director/pentru/sharuire este directorul la care doriti ca celelalte 
calculatoare sa aiba acces, hostl.domeniulmeu.com este calculatorul care are 
acces la acest director, optiunea ro specfica faptul ca directorul se va monta pe 
calculatorul respectiv doar cu perminsiuni de citire, root_squash pentru a nu lasa 
utilizatorul root sa scrie in acel director. 

Pentru ca schimbarile facute de dumeavoastra sa aiba efect va trebui sa 
introduceti urmatoarea comanda 

[rootElocalhost /]# /usr/sbin/exportfs -a 


Modalitatea de logare in "single- user" 

In Linux exista o comanda linux single care introdusa la promptul de boot 
LILO, va lansa sistemul inntr-un mod numit "single user". Acest mod este folosit in 
general pentru administrarea sistemului, dar in momentul in care sistemul este 
pornit in single user, acesta logeaza automat pe sistem utilizatorul root, nefiind 
nevoie sa introduceti o parola. Puteti incerca acest lucru tastand la promptul LILO 
urmatoarea comanda 


LILO: linux single 


Pentru a putea evita aceasta ipostaza este necesar sa modficati fisierul / 
etc/inittab dupa cum urmeaza 


(vi/etc/inittab) si modificati urmatoarea linie id:3:initdefault: astfel: 


id:3:initdefault: 
= =:S:wWait:/sbin/sulogin 


Pentru ca modfificarile care le-ati facut sa aiba efect intruduceti urmatoarea 
comanda 


[rootElocalhost /]# init q 


O alta problema de securitate care intervine la bootarea sistemului este 
posibilitatea adaugarii la promptul LILO a urmatorului argument init=/bin/bash, 
care din nou va porni sistemul intr-un mod single-user, nefiind nevoie 
introducerea parolei de root, acest lucru creand posibilitaea ca o persoana 
curioasa sa monteze partitia / in mod citire si scriere (rw), astfel incat acea 
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persoana va avea libertatea sa navigheze in sistem ca utilizator root. Pentru a 
evita aceasta ipostaza va recomandam sa faceti urmatoarele modficari : 


editati fisierul /etc/lilo.conf (vi /etc/lilo.conf) si faceti urmatoarele modficari : 


boot=/dev/sda 

map=/boot/map 

install=/boot/boot.b 

prompt <- stergeti aceasta linie daca doriti sa eliminati posibilitatea introduceri 
de argumente la promptul LILO 

timeout=00 <-adaugati aceasta linie daca nu exista deja in fisier linear 
message=/boot/boot_message.txt <-stergeti aceasta linie daca nu doriti un mesaj 
la boot-are 

default=linux 

restricted <-adaugati aceasta linie pentru facilitarea introducerii parolei 
password="parola” <-adaugati aceasta linie si alegeti o parola 


image=/boot/vmlinz 
label=linux 
read- only 
root=/dev/sda6 


Deoarece acum fisierul /etc/lilo.conf contine o parola necriptata, este 
recomandat sa eliminati posibilitatea de citiere de catre alti useri, folosind 
urmatoarea comanda : 


[root localhost /etc]# chmod 600 /etc/lilo.conf 
Pentru ca schimbarile facute sa aiba efect tastati urmatoarea comanda : 


[root localhost /etc]t /sbin/lilo -v 
LILO verion 22.4.1, Copyright (C) 1992-1998 Wernerr Almesberger 
Developed beyond version 21 Copyright (C) 1999,2000 John Coffman 
Released 27-Jan-2003 and compiled at 19:45:45 on Mar 9 2003. 
MAX_IMAGES=27 


Reading boot sector from /dev/sda 

Merging with /boot/boot.b 

Mapping message file /boot/boot_message.txt 
Boot image : /boot/vmlinuz 

Added linux * 

/boot/boot.0800 exists - no backup copy made 
Writing boot sector. 


O ultima modficare pentru un plus de securitate ar putea fi tastarea 
urmatoarei comenzi pentru a face fisierul /etc/lilo.conf imutabil : 
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Iroot localhost /]% chattr +i /etc/lilo.conf 


Oprirea sistemului prin Control+Alt+Delete 

Pentru a elimina posibilitatea ca un utilizator sa poata restarta calculatorul 
utilizand  cobinatia de taste  Ccontrol+Alt+Delete puteti folosi urmatoarea 
procedura 


Editati fisierul /etc/inittab (vi /etc/inittab ) inlocuind urmatoarea linie dupa cum 
urmeaza 


ca:ctrlaltdel:/sbin/shutdown -t3 -r now 
cu aceasta linie : 
tca:ctrlaltdel:/sbin/shutdown -t3 -r now 
Pentru ca schimbarile facute sa aibe efact tastati urmatoarea comanda 


[root & localhost /]£ init q 


Fisierul /etc/services 

Numarul porturilor pentru serviciile default sunt standardizate in documentul 
RFC 1700 "Assigned Numbers". Acest document este pastrat pe fiecare sistem in 
fisierul /etc/services, acest fisier avand functia de a modifica numele fiecarui 
serviciu in aceste numere (porturi). Rareori este nevoie sa faceti modificari in 
acest fisier, si chiar daca este nevoie, doar utilizatorul root poate face 
modificarile, pentru a spori securitatea este recomandat sa faceti acest fisiier 
imutabil, folosind urmatoarea comanda 


[root Q localhost /]# chattr +i /etc/services 


Conturi speciale 

Acest subcapitol se refera la acele conturi care sunt create automat cand se 
instaleaza sistemul, chiar daca nu folositi serviciul pentru care contul exista. Este 
foarte important sa stiti ca, cu cat sunt mai multe conturi pe sistemul 
dumneavoastra cu atat este mai usor de accesat. Din aceasta cauza va 
recomandam sa stergeti utilizatorul si grupul carui apartine, daca nu folositi 
serviciul respectiv. Pentru a realiza acest lucru puteti folosi urmatoarele comenzi : 


[root G localhost /]£ userdel lp 
[rootOlocalhost /]J# userdel games 
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Iroot localhost /]% userdel adm 
[rootOlocalhost /]J# userdel operator 
[rootOlocalhost /]J# userdel gopher 
[root Qlocalhost /]% userdel shutdown 
[root Q localhost /]J# userdel halt 
[rootOlocalhost /]J# userdel uucp 
[root Q localhost /]J# userdel news 
[root & localhost /]£ groupdel lp 
[rootOlocalhost /]J# groupdel adm 
[rootOlocalhost /]J# groupdel news 
[root Glocalhost /]J# groupdel uucp 
[rootOlocalhost /]J# groupdel games 


Pentru un plus de securitate urmatoarele fisisere trebuie sa fie imutabile, 
evitand astfel modificare accidentala sau crearea de legaturi simbolice (simbolic 
link) catre aceste fisiere. 

[rootOlocalhost /]# chattr +i /etc/passwd 
[root Q localhost /]% chattr +i /etc/shadow 
[rootOlocalhost /]# chattr +i /etc/group 
[rootOlocalhost /]# chattr +i /etc/gshadow 


kai ka ka ka 


Montarea partitiilor in mod sigur 

Anumite partitii cum ar fi /home si /tmp cu anumite optiuni in plus, cum ar fi 
nosuid, nodev, noexec, pentru a spori securitatea sistemului (acest lucru este 
valabil doar daca ati creat partitii diferite pentru aceste directoare). Aceste 
modifcari se pot realiza editand fisierul /etc/fstab dupa cum urmeaza : 


schimbati urmatoarele linii in /etc/fstab (vi /etc/fstab) : 


/dev/sda8 /home ext3 defaults 1 2 
/dev/sda13  /tmp ext3 defaults 12 
cu aceste linii: 


/dev/sda8 /home ext3 defaults,nosuid 12 
/dev/sda13 /tmp ext3 defaults,nosuid,noexec 12 


Acest lucru insemnand : 
nosuid - fiserele SUID si SGID nu au efect pe aceasta partitie 
nodev - fiserele speciale de caractere si blocuri pentru componete nu sunt 


interpretate 
noexec -fisierele binare nu pot fi lansate in executie pe aceasta partitie 
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O alta modificare care ar spori securitatea sistemului ar fi montarea partitiei / 
boot cu acces doar de citire. Partitia /boot contine imaginea nucleului si fisiere 
necesare pornirii sistemului. Montarea acestei partitii doar pentru citire, scoate 
din calcul ipoteza in care un atacator ar putea modifica imaginea nucleului. 
Aceasta montare se face modificand fisierul /etc/fstab dupa cum urmeaza : 


(vi /etc/fstab) si inlocuiti linia urmatoare 
/dev/sdal  /boot ext3 defaults 12 
cu: 

/dev/sdal  /boot ext3  defaults,ro 12 


Pentru ca modificarile efectuate sa aiba efect tastati urmatoarele comenzi: 


[root@localhost /]% mount /home -oremount 
[root@localhost /]J# mount /tmp -oremount 
[root@localhost /]# mount /boot -oremount 


Puteti verifica daca modificarile au fost corect efectuate tastand urmatoarea 
comanda 


[root@localhost /]# cat /proc/mounts 
/dev/root / ext3 rw00 

/proc/proc proc rw 00 

/dev/sdal  /boot ext3 ro 00 
/dev/sda9 /chroot ext3 rw 00 
/dev/sda8  /home ext3  rw,nosuid 00 
/dev/sdal3 /tmp ext3  rw,nosuid,noexec 00 
/dev/sda7  /usr ext3 rw 00 
/dev/sdall  /var ext3 rw 00 
/dev/sdal2  /var/lib ext3 rw 00 

node /dev/pts devpts rw 00 


Modalitati de logare mai bune 

Sistemul Linux va permite sa repetati comenzile lungi, eliminand necesitatea 
tastarii inca odata; acest lucru poate fi privit ca un avantaj, dar in acelasi timp 
este un dezanvantaj. Imaginati-va urmatoarea ipostaza : un utilizator isi introduce 
parola in mod text din greseala, iar aceasta parola va ramane logata o perioada 
lunga de timp. Fiecare utilizator are in directorul sau un fisier numit .bash_history 
unde sunt logate comenzile, acest fisier stocheaza maximum 500 de comenzi, 
pentru a reduce acest numar faceti urmatoarele modificari : 


editati fisierul /etc/profile (vi /etc/profile) si schimbati linia : 


HISTSIZE= 1000 
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cu : 

HISTSIZE=10 

introduceti urmatoarea linie : 
HISTFILESIZE=0 


Prima modificare va reduce riscul ca un cracker sa rasfoieasca fisierul 
~/.bash_history si sa gaseasca o parola in text, reducand numarul de comenzi 
stocate la 10, iar modificarea a 2-a va spune sistemului sa stearga fisierul 
~/.bash_history de fiecare data cand un utilizator iese de pe sistem, eliminand 
posibilitatea ca un cracker sa vada fisierul ~/.bash_history daca utilizatorul nu 
este logat. 

Daca aveti o imprimanta conectata la server, puteti face cateva modificari 
pentru a salva logurile importante pe imprimanta, dupa cum urmeaza : 


editati fisierul /etc/syslog.conf (vi /etc/syslog.conf) adaugand urmatoarea linie : 
authpriv.*;auth.*;daemon.* /dev/lpO 


Directorul /etc/rc.d/ 
Pentru a modifica permisiunile scripturilor care sunt responsabile cu pornirea 
tuturor proceselor la boot, folositi urmatoarea comanda : 


[root 8 localhost /]# chmod -R 700 /etc/rc.d/* 
Deoarece nici un utilizator in afara de root nu trebuie sa poata vizualiza,scrie 
sau lansa fisierele din directorul /etc/rc.d. 


Fisiere SUID si SGID 

Fisierele SUID si SGID sunt fisiere care lansate dau acces privilegiat celui care 
le lanseaza, ele pot fi periculoase, de aceea este recomandat sa deactivati bitul 
SUID si SGID din fisierele care nu au nevoie de el, pentru securitatea sistemului. 
Pentru a gasi aceste fisiere folositi urmatoarele comenzi : 


[rootOlocalhost /]# find / -perm -4000 -exec Is -l (JV -pentru a gasi fisierele SUID 
-rws--x--x | root bin 31696 Mar 10 04:22 /bin/su 

-rwsr-xr-x | root bin 68876 Feb 19 04:06 /bin/mount 
-rwsr-xr-x 1 root bin 31072 Feb 19 04:06 /bin/umount 
-r-sr-xr-X | root bin 14964 Mar 8 04:03 /bin/ping 

-rwWs--X--X | root bin 10508 Apr 16 2002 /usr/bin/crontab 
-rwsr- x--- | root floppy 19076 May 1 2002 /usr/bin/fdmount 
-rws--x--x | root bin 27456 Mar 10 04:22 /usr/bin/chfn 
-rws--x--X | root bin 25844 Mar 10 04:22 /usr/bin/chsh 
-rws--X--X | root bin 32568 Mar 10 04:22 /usr/bin/chage 
-rwWs--X--X | root bin 15416 Mar 10 04:22 /usr/bin/expiry 
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-rws--X--X | 
-rws--X--X | 
-rws--X--X | 
-rws--X--X | 
-rws--X--X | 


-rws--X--X | root bin 16100 Mar 3 04:28 /usr/bin/traceroute 


root bin 19128 Mar 10 04:22 /usr/bin/newgrp 
root bin 33924 Mar 10 04:22 /usr/bin/passwd 
root bin 32196 Mar 10 04:22 /usr/bin/gpasswd 
root bin 35344 Jan 21 2002 /usr/bin/at 

root bin 81984 Apr 25 2002 /usr/bin/sudo 
-rwsr-sr-x 1 root mail 66240 Jun 5 2002 /usr/bin/procmail 
-rws--X--X | root bin 14292 Mar 8 04:03 /usr/bin/rep 
-rwWs--X--X | root bin 7380 Mar 8 04:03 /usr/bin/rsh 
-rws--X--X | root bin 10260 Mar 8 04:03 /usr/bin/rlogin 


-r-sr-sr-- | 10 14 119720 Feb 28 2002 /usr/bin/cu 
-r-sr-sr-- 1 10 14 83620 Feb 28 2002 /usr/bin/uucp 
-r-sr-sr-- | 10 14 36252 Feb 28 2002 /usr/bin/uuname 
-r-sr-sr-- 1 10 14 93880 Feb 28 2002 /usr/bin/uustat 
-r-sr-sr-- 1 10 14 85588 Feb 28 2002 /usr/bin/uux 


-r-sr-x-- | root 13 32488 Feb 1 23:47 /usr/lib/news/bin/inndstart 
-r-sr-x-- 1 10 13 41028 Feb 1 23:48 /usr/lib/news/bin/rnews 
-r-sr-x-- | root 13 28360 Feb 1 23:48 /usr/lib/news/bin/startinnfeed 


-r-sr-sr-- 1 10 14 65572 Feb 28 2002 /usr/lib/uucp/uuchk 
-r-sr-sr-- 1 10 14 214236 Feb 28 2002 /usr/lib/uucp/uucico 
-r-sr-sr-- 1 10 14 70860 Feb 28 2002 /usr/lib/uucp/uuconv 
r-sr-sr-- 1 10 14 315 Nov 22 1995 /usr/lib/uucp/uusched 
r-sr-sr-- 1 10 14 96056 Feb 28 2002 /usr/lib/uucp/uuxqgt 


rwsr-xr-x | root root 5756 Mar 5 09:07 /usr/libexec/pt_chown 
rwWs--X--X | root root 148940 Feb 24 23:37 /usr/libexec/ssh- keysign 


[rootOlocalhost /]# find / -perm -2000 -exec Is -l {} \; - pentru a gasi fisierele SGID 


-rwxr-sr-x | root slocate 26496 Feb 12 02:53 /usr/bin/slocate 


-r-xr-sr-X | root tty 9988 Feb 19 04:06 /usr/bin/wall 
-r-Xr-sr-X | root tty 8212 Feb 19 04:06 /usr/bin/write 
-rwxr-sr-x | root mail 12264 Jun 5 2002 /usr/bin/lockfile 
-rwsr-sr-x 1 root mail 66240 Jun 5 2002 /usr/bin/procmail 


-r-sr-sr-- | 
-r-sr-sr-- | 
-r-sr-sr-- | 
-r-sr-sr-- | 
-r-sr-sr-- | 
-r-sr-sr-- | 
-r-sr-sr-- | 
-r-sr-sr-- | 
-r-sr-sr-- | 
-r-sr-sr-- | 


10 
10 
10 
10 
10 
10 
10 
10 
10 
10 


14 119720 Feb 28 2002 /usr/bin/cu 

14 83620 Feb 28 2002 /usr/bin/uucp 

14 36252 Feb 28 2002 /usr/bin/uuname 

14 93880 Feb 28 2002 /usr/bin/uustat 

14 85588 Feb 28 2002 /usr/bin/uux 

14 65572 Feb 28 2002 /usr/lib/uucp/uuchk 
14 214236 Feb 28 2002 /usr/lib/uucp/uucico 
14 70860 Feb 28 2002 /usr/lib/uucp/uuconv 
14 315 Nov 22 1995 /usr/lib/uucp/uusched 
14 96056 Feb 28 2002 /usr/lib/uucp/uuxqgt 


-r-xr-sr-x | root 25 549092 Mar 3 20:13 /usr/sbin/sendmail 


Nu lasati calculatoarele din retea sa spuna serverului adresa lor MAC 
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Pentru a scoate din calcul ipostaza in care un utilizator modifca IP-ul unui 
calculator din retea, trecand astfel de firewall-ul de pe serverul Linux, putem forta 
intrarile cache ARP din Linux folosind comanda arp. Pentru a realiza acest lucru 
urmati urmatorii pasi : 


pentru fiecare IP din retea utilizati urmatoarea comanda pentru ai gasi adresa 
MAC (Media Access Control ): 


[rootOlocalhost /]# ifconfig 

ethO Link encap:Ethernet HWaddr 00:90:27:0E:31:1B 
inet addr:81.196.93.14 Bcast:81.196.93.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:6461736 errors:0 dropped:0 overruns:0 frame:4892 
TX packets:1782816 errors:0 dropped:0 overruns:0 carrier:0 
collisions:290629 txqueuelen:100 
RX bytes:1526522912 (1455.8 Mb) TX bytes:543708525 (518.5 Mb) 
Interrupt:15 Base address:0x7000 


ethl Link encap:Ethernet HWaddr 00:40:F4:6B:1B:E4 
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:1817156 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1711048 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:100 
RX bytes:551246712 (525.7 Mb) TX bytes:1225333875 (1168.5 Mb) 
Interrupt:ll 


lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:7112 errors:0 dropped:0 overruns:0 frame:0 
TX packets:7112 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:317218 (309.7 Kb) TX bytes:317218 (309.7 Kb) 


Adresele MAC ale calculatoarelor sunt cele care sunt apar dupa variabila HWaddr, 
dupa cum urmeaza : pentru placa de retea eth0 adresa MAC este 
00:90:27:0E:31:1B, iar pentru placa de retea eth0 adresa MAC este 
00:40:F4:6B:1B:E4 


odata ce stiti adresa MAC a calculatorului puteti sa le adaugati manual la intrarile 
ARP ale serverului Linux, dupa cum urmeaza : 


[rootOlocalhost /]# arp -s 81.196.93.14 0:90:27:0E:31:1B 
[root@localhost /]# arp -s 192.168.1.1 00:40:F4:6B:1B:E4 
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Puteti adauga manual aceste doua comenzi in fisierul /etc/rc.d/rc.local daca doriti 
sa pastrati modificarile si dupa restartarea sistemului. 


pentru a verifica daca modificarile facute au efect tastati urmatoarea comanda 


[rootOlocalhost /]# arp 


Address HWtype HWaddress Flags Mask Iface 
81.196.93.14 ether 00:90:27:0E:31:1B C eth1 
192.168.1.1 ether 00:40:F4:6B:1B:E4 C eth1 


Daca cumva primiti eroarea SIOCSARP: Invalid Argument, este din cauza ca MAC- 
ul care doriti sa il adaugati este cel al serverului, si aceasta modficare 
functioneaza doar pentru calculatoarele din reteaua proprie el neavand nici un 
efect pe internet. 


Fisiere ascunse sau nefolositoare 
Este foarte important sa cautati pe sistemul Linux fisiere sau directoare care 


incep cu ".." sau cu ".", deoarece ele pot fi folosite de catre un cracker pentru a-si 
ascunde programele in aceste directoare. Foarte des folosite de catre crackeri 
sunt directoarele : 1...', "..",".. AG". Comanda find poate fi folosita pentru a gasi 


aceste fisiere sau directoare dupa cum urmeaza 
[root@localhost /] find / -name ".. " -print -xdev 
[root@localhost /] find / -name ".*" -print -xdev |cat -v 


Fisiere fara stapan 

Pe serverul dumneavoastra nu ar trebui sa exista fisiere sau directoare care nu 
au stapan, deoarece aceasta poate fi un semn ca sistemul a fost accesat 
neautorizat. Daca gasiti astfel de fisiere, verificati integritatea sistemului si daca 
totul este in ordine, atunci incercati sa le atribuiti acestor fisiere sau directoare un 
stapan. Fisierele din directorul /dev nu se vor lua in considerare. Pentru a gasi 
aceste fisiere sau directoare, folositi urmatoarea comanda 


[root@localhost /]# find / -nouser -o nogroup 
Upgradarea nucleului 


Nucleul este cea mai importanta parte a unui sistem Linux, fara de care nu 
exista Linux. In acest subcapitol vom explica cum se instaleaza un nou nucleu. 
Avantajele instalari unui nou nucleu sunt urmatoarele 


Sistemul va fi mai rapid 

Veti dispune de mai multa memorie 

Va fi mai stabil 

Anumite componente ale nucleului, nefolositoare noua, pot fi folosite de catre 
atacatori in scopul escalarii privilegiilor pe sistemul nostru 
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Un nucleu monolitic este mult mai rapid decat un nucleu modular 
Sursele necesare pentru efectuarea unui upgrade de succes sunt: 


Kernel 2.6.9 - ultima versiune a nucleului Linuz 
Openwall Patch - patch pentru sporirea securitatii 
Dupa ce ati descarcat aceste pachete, puteti trece la urmatorul pas, astfel: 


[root 8 localhost /]% mv linux-2.4.2 l.tar.bz2 /usr/src/ 
[rootOlocalhost /]J# mv linux-2.4.21-owl.tar.gz /usr/src/ 
[root Q localhost /]% cd /usr/srce 

[root Glocalhost src] bzip2 -d linux-2.4.21.tar.bz2 
[root Q localhost src tar xvf linux-2.4.2 l.tar 

[root localhost src In -s linux-2.4.21 linux 
[rootGlocalhost src] tar zxvf linux-2.4.21- owl.tar.gz 
[root Q localhost src] cd linux 

[root &localhost linux] patch -p1 < ../linux-2.4.21-owl/linux- 2.4.2 1-ow1.diff 
[root & localhost linux]? make mrproper 

[rootQ localhost linux] make clean 

[root &localhost linux]? make menuconfig 


Daca totul a decurs bine, veti avea in fata meniul de configurare al nucleului, care 
va avea adaugata o noua sectiune de unde veti putea alege gradul de securitate al 
noului nucleu, precum si o serie de alte sectiuni care va vor ajuta la configurarea 
nucleului. Tineti cont de faptul ca un nucleu monolitic este mult mai rapid decat un 
nucleu modular. Dupa ce ati terminat, salvati setarile, si reveniti la linia de 
comanda, dupa care urmeaza urmatorii pasi: 


[root Q localhost linux] 
[root Q localhost linux] 
[root 8 localhost linux] 
[root Q localhost linux] 


make dep 

make bzlmage 

make modules 

make modules_install 


E: =: Sa 


A fost creata imaginea noului nucleu, si au fost instalate eventualele module care 
le-ati selectat din meniul de configurare al nucleului, urmand sa punem in 
functiune noua imagine creata,astfel : 

[rootOlocalhost linux] mv /usr/src/linux/arch/1386/boot/bzlmage /boot 


Urmeaza editarea fisierului /etc/lilo.conf (vi /etc/lilo.conf),unde vom adauga 
urmatoarele linii : 


image = /boot/bzlmage 
root = /dev/sda8 

label = NewLinuxKernel 
read- only 
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Salvam si revenim la linia de comanda,unde tastam 
[root@localhost linux]# lilo 


Vom avea un mesaj de confirmare al noii imagini adaugate,care va fii marcata cu * 


Tot ce ramane de facut este restartarea sistemului, dar nu inainte de a avea la 
indemana discheta bootabila, in caz ca se intampla neprevazutul. 


[root@localhost linux]# reboot 


Patch- uri pentru kernel 

In subcapitolul anterior am explicat cum se upgradeaza nucleul unui sistem 
Linux, cat si aplicarea unui patch pentru sporirea securitatii. Urmatoarele patch- 
uri pot spori nivelul de securitate 


GRSecurity - un patch care aplicat nucleului va crea posibilitatea alegerii unui 
nivel de securitate, eliminand multe probleme, cum ar fi :limitarea proceselor 
create de un utilizator (fork), eliminarea multor "buffer overflow"-uri...Trebuie sa 
tineti cont de faptul ca, cu cat nivelul de securitatea este mai ridicat pot aparea 
unele incompatibilitati intre nucleul si anumite programe care ruleaza pe sistemul 
dumneavoastra. 

LIDS - Linux Intrusion Detection System este un patch care aplicat nucleului, va 
crea posibilitatea implementarii unui model de secuiritate nou, numit Mandatory 
Access Control, care este asemanator cu cel folosit de sistemul de operare 
OpenBSD. Avantajul acestui patch este ca setarile facute pot fi modificate in orice 
moment fara a fi nevoie sa recompilati nucleul. 


Pana in momentul de fata am acoperit doar probleme cu securitatea fizica si 
locala a unui sistem Linux. Daca sistemul este conectat la Internet sau intr-o retea 
locala, atunci pot aparea noi probleme de securitate. In acest capitol vom incerca 
sa explicam cum puteti evita aceste probleme. 


Directorul /proc/sys/net/ipv4 

Nucleul sistemului Linux contine multe optiuni legate de securitatea retelei, 
cum ar fi: neacceptarea pachetelor care vin spre interfete pe care ele nu ar trebui 
sa aiba acces sau ignorarea raspunsului la ping. Aceste optiuni pot fi activate cu 
ajutorul comenzii sysctl care foloseste fisierul /etc/sysctl.conf pentru configurarea 
nucleului. Deoarece in Slackware nu exista acest fisier, vom prezenta o metoda 
mai simpla prin care se pot activa aceste facilitati. 

Directorul /proc/sys/net/ipv4 contine fisierele care trebuie modifcare pentru 
a schimba comportamentul nucleului. Pentru a modifica aceste fisiere utilizati 
urmatoarele comenzi (precizam ca in dreptul fiecarei comenzi este prezent un 
comentariu care descrie efectul comenzii) : 
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[rootOlocalhost /]J# echo "1" >> /proc/sys/net/ipv4/icmp_echo_ignore_all 

Aceasta comanda va spune nucleului sa ignore raspunsurile la ping 
[rootOlocalhost /]J# echo "1" >> /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 
Aceasta comanda va spune nucleului sa ignore raspunsurile la pachetele icmp de 
tipul broadcast 

[root Q localhost /]% echo "0" >> /proc/sys/net/ipv4/conf/all/accept_source_route 
[root 8 localhost /[]# echo "o" >> / 
proc/sys/net/ipv4/conf/default/accept source route 

[root €Olocalhost /]% echo "0" >> /proc/sys/net/ipv4/conf/lo/accept_source_route 
[rootOlocalhost /]t echo "0" >> /proc/sys/net/ipv4/conf/ethO/accept_source_route 
Comenzile de mai sus vor spune nucleului sa ignore rutarile dupa sursa ip-ului 
[rootOlocalhost /] echo "1" >> /proc/sys/net/ipv4/tcp_syncookies 

Aceasta comanda va spune nucleului sa activeze protectia pentru atacurile cu 
pachete SYN (atacul cu pachete SYN este o metoda prin care un atacator trimite 
foarte multe pachete SYN spre server, astfel consumand toate resursele 
sistemului fiind nevoie sa restartati calculatorul) 

[root G localhost /]% echo "0" >> /proc/sys/net/ipv4/conf/all/accept_redirects 

[root &localhost /]% echo "0" >> /proc/sys/net/ipv4/conf/default/accept_redirects 
[rootOlocalhost /]J# echo "0" >> /proc/sys/net/ipv4/conf/lo/accept_redirects 
[root G localhost /]% echo "0" >> /proc/sys/net/ipv4/conf/ethO/accept_redirects 
Comenzile de mai sus vor spune nucleului sa ignore redirectionarile pentru 
protocolul ICMP 

[root 8 localhost /[]# echo ta EX >> / 
proc/sys/net/ipv4/icmp ignore bogus error responses 

Aceasta comanda spune nucleului sa semnaleze super utilizatorul despre toate 
erorile prezente in retea 

[root & localhost /]% echo "1" >> /proc/sys/net/ipv4/conf/all/rp_filter 
[root & localhost /]J# echo "1" >> /proc/sys/net/ipv4/conf/default/rp_filter 
[root G localhost /]% echo "1" >> /proc/sys/net/ipv4/cont/lo/rp_filter 
[root G localhost /]% echo "1" >> /proc/sys/net/ipv4/conf/ethO/rp_filter 

Comenzile de mai sus vor spune nucleului sa previna folosirea sistemului pentru 
"spoofarea" (un ip este spoofat daca defapt el nu este ip-ul care sustine ca este) ip- 
urilor 

[root &localhost /]% echo "1" >> /proc/sys/net/ipv4/conf/all/log_martians 

[root &localhost /]% echo "1" >> /proc/sys/net/ipv4/conf/default/log_martians 

[root Glocalhost /]% echo "1" >> /proc/sys/net/ipv4/conf/lo/log_martians 
[root G localhost /]% echo "1" >> /proc/sys/net/ipv4/conf/ethO/log_martians 
Comenzile de mai sus vor spune nucleului sa logheze pachetele "spoofate", 
redirectionate si care sunt rutate dupa sursa ip-ului 


Un mic firewall 

Pentru ca sistemul Linux sa fie cat mai sigur este nevoie sa creati un firewall, 
acesta avand rolul de a filtra atat pachetele care vin spre server, cat si cele care 
pleaca, sa detecteze scanari (acest lucru fiind de altfel realizat si de programul 
IpLog), sa opreasca majoritatea tipurilor de atacuri prin limitarea tipurilor de 
pachete definite de utilizator. Firewall-ul este foarte important, el reprezentand 
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50 % din securitatea retelei. In cele ce urmeaza vom prezenta metode cum poate fi 
realizat un firewall bun, cat si un firewall-ul exemplu. 

Pentru a crea un firewall trebuie sa aveti cunostinte bune despre nucleul 
sistemului Linux si despre utilitarul iptables, documentatia putand fi descarcata 
de pe Internet de la urmatoarea adresa : http://www.netfilter.org, dar puteti folsi 
si paginile man ale sistemului tastand urmatoarele comenzi : 


[rootOlocalhost /]J# man iptables 


Un exemplu poate fi considerat firewall-ul exemplu, care l-am inclus in fisierul / 
usr/sbin/firewall. Pornirea, reincarcarea si oprirea firewall-ului este realizata cu 
ajutorul fisierului /etc/rc.d/rc.firewall. Aceste doua fisiere vor fi prezentate in 
randurile urmatoare : 


/usr/sbin/firewall 


+!/bin/bash 

iptables -F 

iptables -X 

iptables -Z 

politica principala este DROP 

iptables -P INPUT DROP 

iptables -P FORWARD DROP 

iptables -P OUTPUT DROP 

#setari necesare 

IFACE="ethO" 

IPADDR="81.196.93.114' 
NAMESERVER_1="61.196.92.1" 
NAMESERVER_2="61.196.92.2" 
BROADCAST="81.196.93.255" 
LOOPBACK="127.0.0.0/8" 
CLASS_A="10.0.0.0/8" 
CLASS_B="172.16.0.0/12" 
CLASS_C="192.168.0.0/16" 
CLASS_D_MULTICAST="224.0.0.0/4" 
CLASS E _RESERVED_NET="240.0.0.0/5" 
IRC_PORTS="6667:7777" 
P_PORTS="0:1023" 
UP_PORTS="1024:65535" 
TR_SRC_PORTS="32769:65535" 
TR_DEST_PORTS="33434:33523" 

toate conectiile pe interfata lo sunt permise 
iptables -A INPUT -i lo -j ACCEPT 

iptables -A OUTPUT -o lo -j ACCEPT 
teste creata o clasa speciala de setari pentru pachetele SYN 
iptables -N syn-flood 
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iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood 

iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN 
iptables -A syn-flood -j DROP 

pachetele noi trebuie sa fie de tipul SYN 

iptables -A INPUT -i ȘIFACE -p tcp ! --syn -m state --state NEW -j DROP 
#logarea fragmentelor 
iptables -A INPUT -i ȘIFACE -f -j LOG --log-prefix "IPTABLES FRAGMENTS: " 
iptables -A INPUT -i $IFACE -f -j DROP 

#refuzarea unor pachete care ar putea fiinceputul unor atacuri 

iptables -A INPUT -i ȘIFACE -s $IPADDR -j DROP 

iptables -A INPUT -i ȘIFACE -s $CLASS A -j DROP 

iptables -A INPUT -i ȘIFACE -s $CLASS_B -j DROP 

iptables -A INPUT -i ȘIFACE -s $CLASS C -j DROP 

iptables -A INPUT -i ȘIFACE -s $CLASS D MULTICAST -j DROP 

iptables -A INPUT -i $IFACE -s $CLASS E RESERVED NET -j DROP 

iptables -A INPUT -i $IFACE -d $LOOPBACK -j DROP 

iptables -A INPUT -i $IFACE -d $BROADCAST -j DROP 

#comunicarea cu namservere este permisa 

iptables -A INPUT -i $IFACE -p udp -s $NAMESERVER | --sport 53 -m state --state 
ESTABLISHED -j ACCEPT 

iptables -A INPUT -i $IFACE -p udp -s $NAMESERVER 2 --sport 53 -m state --state 
ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -o $IFACE -p udp -d $NAMESERVER | --dport 53 -m state -- 
state NEW,ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -o $IFACE -p udp -d $NAMESERVER_2 --dport 53 -m state -- 
state NEW,ESTABLISHED -j ACCEPT 

#permite ssh server si ssh client 

iptables -A INPUT -i ȘIFACE -p tcp --sport 22 -m state --state ESTABLISHED jj 
ACCEPT 

iptables -A OUTPUT -o ȘIFACE -p tcp -dport 22 -m state --state 
NEW,ESTABLISHED -j ACCEPT 

iptables -A INPUT -i ȘIFACE -p tcp --dport 22 -m state --state NEW,ESTABLISHED 
-j ACCEPT 

permite utilizarea serviciilor www 

iptables -A INPUT -i ȘIFACE -p tcp --sport 80 -m state --state ESTABLISHED jj 
ACCEPT 

iptables -A OUTPUT -o ȘIFACE -p tcp -dport 80 -m state  --state 
NEW,ESTABLISHED -j ACCEPT 

iptables -A INPUT -i ȘIFACE -p tcp --sport 443 -m state --state ESTABLISHED -j 
ACCEPT 

iptables -A OUTPUT -o ȘIFACE -p tcp  -dport 443 -m state  --state 
NEW,ESTABLISHED -j ACCEPT 

iptables -A INPUT -i ȘIFACE -p tcp --dport 80 -m state --state NEW,ESTABLISHED 
-j ACCEPT 

iptables -A INPUT -i ȘIFACE -p tcp  -dport 443 -m state —state 
NEW,ESTABLISHED -j ACCEPT 
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#permite utilizarea serviciilor ftp 

iptables -A INPUT -i $IFACE -p tcp --sport 21 -m state --state ESTABLISHED jj 
ACCEPT 

iptables -A OUTPUT -o ȘIFACE -p tcp —dportt 21 -m state --state 
NEW,ESTABLISHED -j ACCEPT 

iptables -A INPUT -i $IFACE -p tcp --sport 20 -m state —-state 
ESTABLISHED,RELATED -j ACCEPT 

iptables -A OUTPUT -o $IFACE -p tcp --dport 20 -m state --state ESTABLISHED -j 
ACCEPT 

iptables -A INPUT -i $IFACE -p tcp --sport $UP PORTS --dport $UP PORTS -m 
state --state ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -o $IFACE -p tcp --sport $UP PORTS --dport $UP PORTS -m 
state --state ESTABLISHED,RELATED -j ACCEPT 

iptables -A INPUT -i ȘIFACE -p tcp --dport 21 -m state --state NEW,ESTABLISHED 
-j ACCEPT 

iptables -A INPUT -i ȘIFACE -p tcp --dport 20 -m state --state NEW,ESTABLISHED 
-j ACCEPT 

#permite trimiterea mail-urilor 

iptables -A INPUT -i ȘIFACE -p tcp --sport 25 -m state --state ESTABLISHED jj 
ACCEPT 

iptables -A OUTPUT -o $IFACE -p tcp  -dport 25 -m state --state 
NEW,ESTABLISHED -j ACCEPT 

iptables -A INPUT -i ȘIFACE -p tcp --sport 110 -m state --state ESTABLISHED jj 
ACCEPT 

iptables -A OUTPUT -o $IFACE -p tep -dport 110 -m state --state 
NEW,ESTABLISHED -j ACCEPT 

#anumite servere de email au nevoie de aceasta linie pentru a functiona 

iptables -A INPUT -i ȘIFACE -p tcp --dport 113 -j REJECT --reject- with tcp-reset 
#traceroute poate fi executat pentru orice adresa 

iptables -A OUTPUT -o ȘIFACE -p udp --sport $TR_SRC_PORTS --dport 
$TR_DEST_PORTS -m state --state NEW -j ACCEPT 

#acepta doar pachete ICMP care sunt legate de o alta conectie (echo "0" >> / 
proc/sys/kernel/net/icmp_ignore_all) 

iptables -A INPUT -i $IFACE -p icmp -m state --state ESTABLISHED,RELATED jj 
ACCEPT 

iptables -A OUTPUT -0 $IFACE -p icmp -m state --state 
NEW,ESTABLISHED,RELATED -j ACCEPT 

permite accesul catre serviciile IRC 

iptables -A INPUT -i ȘIFACE -p tcp --sport ȘIRC PORTS -m state --state 
ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -o ȘIFACE -p tcp --dport ȘIRC PORTS -m state --state 
NEW,ESTABLISHED -j ACCEPT 

+logarea pachetelor udp care nu au fost acceptate pana in momentul de fata 
iptables -A INPUT -i ȘIFACE -p udp -j LOG --log-prefix "PACHETE UDP-IN: " 
iptables -A INPUT -i ȘIFACE -p udp -j DROP 

iptables -A OUTPUT -o $IFACE -p udp -j LOG --log-prefix "PACHETE UDP-OUT: " 
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iptables -A OUTPUT -o $IFACE -p udp -j DROP 

#logarea pachetelor icmp care nu au fost acceptate pana in momentul de fata 
iptables -A INPUT -i ȘIFACE -p icmp -j LOG --log-prefix "PACHETE ICMP-IN: " 
iptables -A INPUT -i ȘIFACE -p icmp -j DROP 

iptables -A OUTPUT -o ȘIFACE -p icmp -j LOG --log-prefix "PACHETE ICMP-OUT: " 
iptables -A OUTPUT -o ȘIFACE -p icmp -j DROP 

#logarea pachetelor tcp care nu au fost acceptate pana in momentul de fata 
iptables -A INPUT -i ȘIFACE -p tcp -j LOG --log-prefix "PACHETE TCP-IN: " 
iptables -A INPUT -i ȘIFACE -p tcp -j DROP 

iptables -A OUTPUT -o ȘIFACE -p tcp -j LOG --log-prefix "PACHETE TCP-OUT: " 
iptables -A OUTPUT -o ȘIFACE -p tcp -j DROP 

toate pachetele care nu au fost acceptate pana acuma sunt refuzate si logate 
iptables -A INPUT -i ȘIFACE -j LOG --log-prefix "PACHETE X-IN: " 

iptables -A INPUT -i ȘIFACE -j DROP 

iptables -A OUTPUT -o ȘIFACE -j LOG --log-prefix "PACHETE X-OUT: " 

iptables -A OUTPUT -o ȘIFACE -j DROP 


fetc/rc.d/rc.firewall 


+!/bin/bash 

if |] "$1" = "start" ] ; then 

echo "Firewall activat" 
/usr/sbin/firewall 

fi 

if [ "$1" = "stop" ]; then 

echo "Firewall oprit, ALERTA SISTEMUL ESTE NESIGUR" 
iptables -F 

iptables -X 

iptables -Z 

iptables -P INPUT ACCEPT 
iptables -P FORWARD ACCEPT 
iptables -P OUTPUT ACCEPT 
fi 


VII. Modelul client- server. Crearea datelor de ieire pentru un browser 
Web 

Când utilizm web-ul pentru a vizualiza o pagin web, automat se realizez contactul 
cu un server web. Procesul de trimitere a URL-ului este numit crearea unei cereri ctre 
server. Serverul interpreteaz URL-ul, localizeaz pagina corespunz toare i trimite 
înapoi pagina ca parte a ceea ce este cunoscut sub numele de rspuns ctre browser. 
Browser-ul preia codul pe care l-a recep ionat de la serverul Web i alc tuie te o pagin 
vizibil din aceasta. Browser-ul este cunoscut sub numele de client în aceast 


interac iune, iar întreaga interac iune ca relaie client-server. 


Termenul client-server prezint în linii generale modul de lucru al web-ului prin 
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distribu ia de sarcini. Serverul (serverul web) stocheaz, interpreteaz i distribuie 
datele, iar clientul (browser-ul) acceseaz serverul pentru a obine datele. Termenul 
client- server reprezit de fapt o simplificare excesiv a procesului i este o descriere 


abstract a unui proces fizic. 


Internet-ul este proiectat s transporte informa ia dintr-un loc în altul, folosind în 
acest scop o suit de protocoale de re ea cunoscut sub numele de TCP/IP. Un protocol 
de reea reprezint o metod pentru descrierea pachetelor de informa ii care pot fi 
trimise prin telefon, cablu sau linie T1 de la un nod la altul pân când acestea ating 
destina ia dorit. Un avantaj al protocolului TCP/IP este c acesta poate s redirijeze (re- 
ruteze) informa ia foarte rapid dac un anumit nod sau rut este întrerupt sau lent. 
Când utilizatorul spune browser-ului s aduc o pagin web, browser-ul face un pachet 
din aceast instruc iune utilizând protocolul Transmission Control Protocol (TCP). TCP 
este un protocol de transport, care furnizeaz un format de transport sigur pentru 
instruc iune. TCP ne asigur c întregul mesaj este împachetat corect pentru transmisie 
i, în plus, dac este corect despachetat i reasamblat dup ce atinge destinaia. 
Protocolul de reea TCP/IP reprezint o metod pentru descrierea pachetelor de 
informa ie. 

Înainte ca pachetele de date s fie trimise pe reea, este necesar s fie adresate. În 
consecin , un al doilea protocol denumit HyperText Transfer Protocol (sau HTTP) pune o 
etichet de adres pe el, în acest fel TCP/IP tiind unde s dirijeze informa ia. 

Putem concepe c TCP/IP reprezint serviciul potal care care realizeaz  rutarea i 
transferul, în timp ce HTTP reprezint timbrul i adresa de pe scrisoare (date) care ne 
asigur c ajung la destina ie. 

Mesajul care trece de la browser la serverul web este cunoscut sub numele de 
cerere HTTP. Când serverul web recep ioneaz aceast cerere, verific fiierele existente 
pentru a gsi pagina potrivit. Dac serverul web gsete pagina, el face un pachet care 
conine acest HTML (utilizând TCP), adreseaz aceste pachete browser-ului (utilizând 
HTTP) i le trimite în reea. Dac serverul web nu gse te pagina cerut, el emite o 
pagina care conine un mesaj de eroare (în acest caz Error 404: Page Not Found). 
Mesajul trimis de la serverul web ctre browser este numit rspuns HTTP. 

Grafic procesul se poate reprezenta astfel: 

Când este trimis serverului o cerere pentru o pagin Web, acest cerere conine 
mai mult decât URL-urile dorite. Este trimis în cerere de browser i recepionat de 
server o cantitate important de extra-informa ie care este generat automat. Fiecare 
mesaj HTTP presupune acelai format, indiferent dac este o cerere de la client sau un 


rspuns de la server. Putem scinda acest format în trei seciuni: 
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Server web 


Cerere HTTP 
http://site web 


Pagina web 


Browser 


- linia de cerere/r spuns; 

- antetul-ul HTTP; 

- corpul HTTP. 

Con inutul acestor trei seciuni este dependent de tipul mesajului HTTP, cerere 
sau rspuns, aceste cazuri trebuind tratate separat. Procesele sunt prezentate în 


figura urm toare: 


Cerere HTTP 
Server web 


Request i- ma 
Get/HTTP/1.1 | 
Host: www.feaa.uaic.ro 


Pagina 


Header fetch-uita Pagina PHP 


Useragent: mozilla (x11;l;Linux 2.0.32 i586) 
Accept: */* 

Date: Wed, 13 Sep 2000 09:10:44 GMT 
Body 

(empty) 


Lansare 
procesor 
PHP 


Response 
HTTP/1.1 200 OK 


Header Interpretare 
Server: Apache/1.3 (unix) (suse/linux) PHP/4.0.2 Procesor script 

- 4 Pagina HTM 
Date: Wed, 13 Sep 2000 09:10:46 GMT PHP SEEM 
Body 


<HTML> 


Browser . J HTM LS 


Observ m c cererea HTTP i rspunsul HTTP au, în general, structuri similare, i 
conin informa ii comune care sunt trimise ca parte a header-ului HTTP. De asemenea, 
exist alte piese de informa ie care pot fi cunoscute doar de browser sau de server, i 


sunt trimise ca parte a cererii sau rspunsului. 


Cererea HTTP. Browser-ul trimite cererea HTTP serverului web i conine 


urm toarele: 


a) linia de cerere - reprezint prima linie a fiec rei cereri HTTP i conine trei 


piese de informa ie: 
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-o comand HTTP cunoscut ca o metod ; 

- calea de pe server la resursa pe care clientul o solicit ; 

- num rul versiunii de HTTP. 

Ex.: GET /testpage.htm HTTP/1.11 

Metoda este utilizat pentru a spune server-ului cum s trateze cererea. Cele mai 
cunoscute metode sunt: 

GET — reprezint cererea pentru informaia care aparine unui anumit URL. 
Informa ia solicitat de ctre cerere poate fi orice de la o pagin HTML la o pagin PHP 
la ieirea unui program Javascript sau Perl, sau un alt executabil. În acest mod putem 
trimite o cantitate limitat de date ctre browser, sub forma unei extensii a URL-ului; 

HEAD - similar cu metoda GET, exceptând faptul c indic o doar o cerere pentru 
HEADER-ul HTTP far date; 

POST -indic c data va fi trimis ctre server ca parte a corpului HTTP, aceast 
dat fiind transferat ctre un program de manipulare a datelor pe serverul web. 


Alte metode suportate de HTTP includ PUT, DELETE, TRACE, CONNECT i 
OPTIONS. Detalii referitoare la acestea se g sesc în RFC 2068 (http://www.rfe.net). 


b) antetul HTTP — reprezint urm torul bit de informa ie trimis i conine detalii 
privitoare la ce fel de tip de document va accepta clientul ca rspuns de la server, tipul de 
browser care a solicitat pagina, data, i informa ii generale de configurare. Antetul de 
cerere HTTP con ine informa ii care pot fiîmp r ite în trei categorii: 

- General — con ine informa ii despre client sau server; 

- Entity- conine informa ii privitoare la datele trimise între client i server; 


- Request — conine informaii despre configuraia clientului i tipurile de 
documente acceptate. 


Un exemplu de header HTTP poate fide genul: 


Accept: YA 

Accept-Language: en-us 

Connection: Keep- Alive 

Host: www.feaa.uaic.ro 

Referer: http://www.feaa.uaic.ro/salexis/SampleList.php?code=3230 
User- Agent: Mozilla (X11; I; Linux 2.0.32 1586) 


Dup cum se observ, header-ul HTTP este alc tuit dintr-un anumit numr de 
linii, fiecare linie con inând descrierea piesei de informa ie din header- ul HTTP i 
valoarea sa. Exist o multitudine de linii care compun header-ul HTTP, multe din 
ele fiind opionale, HTTP-ul trebuind s indice când s-a finalizat transmiterea 


informa iei din header. Pentru a realiza acest lucru, este utilizat o linie liber. In 
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HTTP 1.1, o cerere trebuie s cuprind cel puin linia de cerere i header-ul 


HOST. 


c) corpul HTTP. Dac a fost utilizat în linia de cerere metoda POST, atunci 
corpul cererii HTTP va con ine toate datele care au fost trimise ctre server (de exemplu, 
datele pe care utilizatorul le introduce într-un formular HTML). Dac nu, corpul cererii 
HTTP va fi gol. 


Rspunsul HITP.R spunsul HTTP este trimis de server înapoi browser-ului client 
i conine urm toarele: 
a) linia de rspuns —conine doar doi bii de informa ie: 
- num rul versiunii HTTP; 
- codul cererii HTTP care furnizez succesul sau eecul cererii. Un exemplu 
de rspuns poate fi: HTTP/1.1 200 OK. Acest exemplu resturneaz codul de stare 200, 
care reprezint mesajul “OK”. Aceasta indic succesul cererii, i c rspunsul conine 
pagina sau data solicitat de pe server. Dac linia de rspuns conine codul de stare 440, 
serverul web a euat în localizarea resursei cerute. Valorile codului de eroare sunt for- 
mate dintr-un numr din trei cifre, unde prima cifr indic clasa rspunsului. Exist cinci 


clase ale rspunsului: 


Clasa co- Descrierea 

dului 

100-199 aceste coduri sunt informa ionale — ele indic c cererea 
este în procesare 

200-299 aceste coduri denot succesul — serverul web a re- 
cepionat i a transportat cererea cu succes 

300-399 aceste coduri indic c cererea a fost executat, deoarece 
informa ia solicitat a fost mutat 

400-499 odul denot o eroare a clientului — cererea a fost incom - 
let, incorect sau imposibil 

500-599 aceste coduri denot o eroare a serverului — cererea pare 
s fie valid, dar serverul a euat s o transporte 


b) antetul HTTP de rspuns este similar cu antetul de cerere prezentat anterior. 
În rspunsul HTTP informa ia din antet este de asemenea împr it în trei categorii: 

- General — conine informa ii despre client sau server, dar nu specific unuia sau 
altuia; 

- Entity — con ine informa ii despre datele care au fost trimise între client i server; 

- Response — conine informa ii despre serverul care trimite rspunsul i modul în 
care este tratat rspunsul. 

Antetul const dintr-un anumit numr de linii i utilizeaz o linie alb pentru a 
indica c informaia din antet este complet. Vom prezenta un exemplu de antet i 


numele fiec rei linii: 
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HTTP/1.1 200 OK - linia de stare 

Date: Mon, 1st Nov 2003, 16:12:23 GMT - antetul general 

Server: Apache/1.3.12 (Unix) (SUSE/Linux) PHP/4.0.2 — antetul rspuns 
Last- modified: Fri, 29th Oct 2003, 12:08:03 GMT - antetul entitate 


A treia linie (“Server”) indic tipul de software al serverului web care ruleaz i c 
realizm o cerere pentru un fiier de pe server, ultimul bit de informaie referindu-se la 
ultima dat când pagina solicitat a fost modificat. 

Antetul poate conine mai mult  informaie sau o informaie diferit de cea 
prezentat, fiind dependent de ceea ce este solicitat. Detalii referitoare la tipurile de in- 
forma ie coninute în cele trei pri ale antetului se gsesc în RFC 2068 la sec iunile 
4.5, 7.1 i 7.2. 

c) corpul HTTP. Dac cererea a fost efectuat cu succes, atunci corpul 
rspunsului HTTP conine codul HTML împreun cu toate scripturile care sunt executate 


de ctre browser, care sunt preg tite pentru a fi interpretate de ctre browser. 


Interven ia PHP-ului în acest proces 


Dac am dori s însumm procesul de distribuire a paginii web vom distinge ase 


pai aa cum se poate observa i în figura urm toare: 


Server web 


G) Serverul web localizeaza fisierul de instructiuni 


13 Autorul scrie G) Serverul web proceseaza instructiunile pentru a crea HTML 
instructiuni 


Stream HTML returnat browserului 


Clientul solicita 
pagina web 


Browserul proceseaza 


HTML si afiseaza pagina 


Client 


Serverul web va localiza pagina web solicitat (pasul 3) i dac este o pagin PHP, 
atunci serverul web va procesa scriptul PHP, înainte de a genera HTML-ul care este 
returnat browserului (pasul 4). În aceast faz, dac numele paginii web este sufixat cu. 


php, serverul trimite motorului de scripting PHP (care este ataat la serverul web) pentru 
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procesare. 

Paginile PHP sunt divizate în text, HTML i script PHP. Capabilitatea de a 
programa în interiorul HTML este cunoscut sub numele de script. HTML nu poate fi 
descris ca un limbaj de programare i are capabilit i limitate legate de afiarea static a 
textului i a imaginilor, i de aceea este necesar scrierea comenzilor în alt limbaj de 
programare pentru a aduga facilit i suplimentare. Termenul limbaj de scripting 
descrie limbajul în care facilit ile suplimentare sunt scrise. Diferena dintre PHP i 
Javascript sau chiar simplul HTML const în faptul c PHP este executat pe server nu de 
browser. HTML ne permite s introducem scripturi în aproape orice locaie din codul 
HTML. Deci, când pagina este solicitat i HTML este generat, fiecare script din pagin 
este trimis ctre motorul de scripting pentru a fi interpretat i pentru a genera HTML-ul 
echivalent. 

Scripturile sunt utilizate pentru a scrie instruc iuni care permit paginilor s fie 
create dinamic; putem returna informa iile utilizatorilor bazate pe rspunsurile lor din 
formulare, putem personaliza paginile web pentru un anumit browser, putem personaliza 


informa ia i utiliza un profil particular pentru fiecare individ i putem genera grafice. 
Conceptul de parsing i execuie 


Interpretarea scriptului PHP poate fi divizat în dou  subprocese. Când o pagin 
web este trimis motorului PHP au loc dou procese: 

- scriptul PHP este verificat pentru corectitudine într-un proces cunoscut sub 
numele de parsing. Aceasta este echivalent cu a verifica greelile gramatical i 
ortografic i nu asigur corectitudinea scriptului PHP, verificându- se doar dac scriptul se 
conformeaz cu un set predefinit de reguli; 

- al doilea proces numit execu ie apare în momentul în care scriptul a fost parsat, 
el fiind procesul de preluare a fiecrei linii de script PHP i transformarea lui într-un 
HTML echivalent. El este realizat în mod liniar în afar de cazul când prin alte mijloace 
este direc ionat în scriptul PHP. Exist dou locaii în care motorul PHP returneaz erori, 
pe durata parsing-ului i pe durata execuiei. Dac are loc acest lucru, erorile vor fi 
returnate ctre browser. În caz contrar, o pagina HTML dinamic va fi returnat browser- 


ului. 


Scripting Server- Side 

Browser-ul realizeaz o conexiune cu serverul web, trimite o cerere, recep ioneaz 
un rspuns i apoi interpreteaz  HTML-ul recepionat pentru a construi pagina web. 
Diferen a care apare în cazul în care se introduce un script const în actul de preg tire a 


paginii pentru a fi trimise browser-ului. Primul lucru pe care serverul trebuie s- 1 fac 
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este s identifice maina responsabil pentru procesarea scriptului. Acesta este un aspect 
important deoarece, când scriem un script, putem alege ce va fi procesat de server i ce 
anume de browser. 

Un script care este interpretat de ctre server este numit script server-side. Un 
script server-side reprezint un ansamblu de instruc iuni care este procesat de ctre 
server sau de ctre browser. S facem aceast diferen mai precis : 

- un script care este interpretat de ctre serverul web este numit script server- 
side. Un script server-side reprezint un set de instruc iuni care sunt procesate de ctre 
server i genereaz HTML. HTML-ul rezultat este trimis ca parte a rspunsului HTTP 
ctre browser, care ilafieaz în concordan cu aceasta; 

-o pagin HTML simpl este interpretat de ctre browser. HTML nu este procesat 
de ctre serverul web. În schimb, este trimis ctre browser (ca parte a rspunsului HTTP) 


i este procesat de ctre browser, rezultatul fiind afiat de ctre browser. 


Caching 

Cache-ul unui browser web stocheaz paginile web care au fost deja 
vizualizate. Pentru a accelera procesul vizualiz rii unei pagini, browser-ul va 
prelua versiunea veche a paginii. Locaia cache-ului pe main  variaz în acord cu 
dou elemente: tipul browser-ului i platforma pe care o utilizm. Pe Windows 
(98/NT i 2000) cache-ul pentru Netscape navigator este localizat în C:\Program 
Files\ Netscape\Users\Cache. În Internet Explorer este localizat în directorul 
Temporary Internet Files din Documents and Settings cu men iunea c exist 
versiuni separate ale cache- ului pentru fiecare profil de utilizator de pe main. În 
Linux îl putem g si în ~/.netscape/cache, unde ~ reprezint directorul de home al 
utilizatorului curent. 

Când ne bizuim pe motorul PHP de pe server s proceseze paginile înainte, 
existen a cache-ului devine semnificativ. Dac  utilizm rezultatele din cache dintr-o 
execu ie anterioar a paginii, atunci nu vom folosi codul dinamic iar informa ia returnat 
va fi incorect. Putem observa acest lucru dac utilizm butonul Back al browser-ului 
pentru a parcurge o serie de pagini PHP anterioare. În unele cazuri chiar dac execut m 
clic pe butonul Refresh nu este suficient, cache-ul nefiind actualizat iar pagina fiind 
înc rcat neadecvat deoarece browser-ul crede c pagina este învechit. In cazul acestui 
eveniment, pentru a fora un refresh în Internet Explorer 5 putem folosi combina ia de 
taste CTRL+F5, în timp ce în Netscape Navigator vom menine apsat tasta SHIFT i 
apoi vom executa clic pe Reload. 

Acest aspect este foarte important deoarece dac rulm un exemplu, putem obine 
acelai set de rezultate dintr-o execuie anterioar a exemplului, dac browser-ul 


utilizeaz versiunea din cache a paginii. Trebuie apoi s ne asigur m c browser-ul preia 
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o pagin nou prin reîncrcarea acesteia sau prin modificarea setrilor browser-ului 
dac avem o îndoial. 

De asemenea, exist un set de antete HTTP care pot fi folosite pentru a preveni ca 
o pagin web s fie preluat din cache. Urm toarele trei linii de cod PHP, dac sunt 
folosite la începutul scriptului PHP previne IE sau Netscape Navigator de la a face cache 
pentru pagin sau de a face refresh la document de “n” ori. 
<? 
header("Cache- Control: no-cache, must-revalidate"); 
header("Pragma: no-cache"); 
header("Expires: Mon,26 Jul 2003 05:00:00 GMT"); 
?> 


Programele PHP execut trei categorii de opera ii elementare: 
-obin date de la un utilizator; 
-execut prelucr ri ale datelor, respectiv obin accesul la datele stocate în fiiere i baze 
de date i le manipuleaz ; 
-afieaz date astfel încât un utilizator s le poat vizualiza. 

Programele PHP sunt alc tuite din instruc iuni. Regulile care controleaz formarea 
instruc iunilor se nume te sintax. Soluia sintactic pentru crearea instruc iunii PHP 
care trimite date de ieire la un browser Web, astfel încât acestea s fie vizibile pentru un 
utilizator, se nume te instruciune de reflectare (echo statement): 
echo("specificm un text oarecare"); 

Instruc iunea începe de la cuvântul echo i se încheie cu un caracter punct i 
virgul. Parantezele i ghilimelele duble se folosesc pentru delimitarea unei expresii de 
tip text. Putem s includem numai litere, cifre, spaii i semne de punctua ie folosite în 
alfabetul latin, precum virgula, caracterul punct i virgul, punctul, semnul de întrebare 
i semnul exclam rii. De asemenea, putem include caracterele < >, folosite pentru 
delimitarea etichetelor HTML, respectiv caracterul /, folosit pentru a indica închiderea 
unei perechi de etichete HTML. 

Ex: instruc iune PHP care are drept date de ieire un fragment dintr-un titlu: 
echo("<H2>Nucleul sistemului de operare Linux</H2>"); 

Perechea de etichete H2 determin formatarea datelor de ieire ca titlu HTML de 


nivel 2. 
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